4975bd39563658ed5632a0dc0f8da7dd1d685bda120c0998b46055010b168a82

Analysis

max time kernel
149s
max time network
141s
platform
windows10-2004_x64
resource
win10v2004-20231215-en
resource tags

arch:x64arch:x86image:win10v2004-20231215-enlocale:en-usos:windows10-2004-x64system
submitted
10/01/2024, 05:51

Sharing

Copy URL Twitter E-mail

Report Analysis Logs

General

Target

2024-01-09_276992778a9917c07b3d91cb8920db06_mafia.exe
Size

486KB
MD5

276992778a9917c07b3d91cb8920db06
SHA1

923c0b73042179d147ad01edeca07c370ce135b9
SHA256

4975bd39563658ed5632a0dc0f8da7dd1d685bda120c0998b46055010b168a82
SHA512

61faff734b78d23ce057588e9cf00489b226940221a5b54b513596bb15d99ed16d259981be01ff0df5e4c911c7c222d713d3e6ec893ae5a507130c2b4133f56f
SSDEEP

6144:Sorf3lPvovsgZnqG2C7mOTeiLfD7qsz5i/sElukTcRGuKagWZH0nh9v/p6bI9JTI:/U5rCOTeiDqki/RbT0x4aI9x032MNZ

Score

7^/10

Malware Config

Signatures

Executes dropped EXE 64 IoCs

pid	Process
3096	45A4.tmp
2276	B48B.tmp
1476	7BB8.tmp
5072	B68E.tmp
4540	470B.tmp
3876	A009.tmp
2524	47B7.tmp
4824	95F6.tmp
224	svchost.exe
4716	B8F0.tmp
524	48FF.tmp
4720	8B0A.tmp
1016	49AB.tmp
3624	49F9.tmp
2156	4A47.tmp
1336	4A96.tmp
1684	4AE4.tmp
3588	4B32.tmp
2804	4B80.tmp
4776	4BCE.tmp
3252	4C2C.tmp
3880	4C99.tmp
4856	4CE7.tmp
2444	4D35.tmp
3960	4D84.tmp
528	B12F.tmp
3956	4E20.tmp
228	4E6E.tmp
3632	B3EE.tmp
4364	4F1A.tmp
4136	4F68.tmp
4872	6A53.tmp
2580	5C58.tmp
2276	C0EE.tmp
4944	AA3A.tmp
2700	WaaSMedicAgent.exe
3100	BD16.tmp
4500	519A.tmp
332	51E9.tmp
3696	B045.tmp
3628	ACAB.tmp
5032	8954.tmp
1144	7D3E.tmp
3640	A1DD.tmp
2332	53DD.tmp
3256	542B.tmp
2560	7E67.tmp
3964	B92E.tmp
4908	svchost.exe
4672	5544.tmp
436	972F.tmp
3312	7271.tmp
952	562E.tmp
2432	567C.tmp
628	56CB.tmp
3224	5719.tmp
4104	AF5A.tmp
3252	4C2C.tmp
868	5803.tmp
2076	7520.tmp
3564	756E.tmp
3064	58FD.tmp
1440	D33E.tmp
4836	BC4B.tmp

Suspicious use of WriteProcessMemory 64 IoCs

description	pid	Process	procid_target
PID 2448 wrote to memory of 3096	2448	2024-01-09_276992778a9917c07b3d91cb8920db06_mafia.exe	89
PID 2448 wrote to memory of 3096	2448	2024-01-09_276992778a9917c07b3d91cb8920db06_mafia.exe	89
PID 2448 wrote to memory of 3096	2448	2024-01-09_276992778a9917c07b3d91cb8920db06_mafia.exe	89
PID 3096 wrote to memory of 2276	3096	45A4.tmp	465
PID 3096 wrote to memory of 2276	3096	45A4.tmp	465
PID 3096 wrote to memory of 2276	3096	45A4.tmp	465
PID 2276 wrote to memory of 1476	2276	B48B.tmp	383
PID 2276 wrote to memory of 1476	2276	B48B.tmp	383
PID 2276 wrote to memory of 1476	2276	B48B.tmp	383
PID 1476 wrote to memory of 5072	1476	7BB8.tmp	472
PID 1476 wrote to memory of 5072	1476	7BB8.tmp	472
PID 1476 wrote to memory of 5072	1476	7BB8.tmp	472
PID 5072 wrote to memory of 4540	5072	B68E.tmp	99
PID 5072 wrote to memory of 4540	5072	B68E.tmp	99
PID 5072 wrote to memory of 4540	5072	B68E.tmp	99
PID 4540 wrote to memory of 3876	4540	470B.tmp	318
PID 4540 wrote to memory of 3876	4540	470B.tmp	318
PID 4540 wrote to memory of 3876	4540	470B.tmp	318
PID 3876 wrote to memory of 2524	3876	A009.tmp	97
PID 3876 wrote to memory of 2524	3876	A009.tmp	97
PID 3876 wrote to memory of 2524	3876	A009.tmp	97
PID 2524 wrote to memory of 4824	2524	47B7.tmp	292
PID 2524 wrote to memory of 4824	2524	47B7.tmp	292
PID 2524 wrote to memory of 4824	2524	47B7.tmp	292
PID 4824 wrote to memory of 224	4824	95F6.tmp	294
PID 4824 wrote to memory of 224	4824	95F6.tmp	294
PID 4824 wrote to memory of 224	4824	95F6.tmp	294
PID 224 wrote to memory of 4716	224	svchost.exe	480
PID 224 wrote to memory of 4716	224	svchost.exe	480
PID 224 wrote to memory of 4716	224	svchost.exe	480
PID 4716 wrote to memory of 524	4716	B8F0.tmp	448
PID 4716 wrote to memory of 524	4716	B8F0.tmp	448
PID 4716 wrote to memory of 524	4716	B8F0.tmp	448
PID 524 wrote to memory of 4720	524	48FF.tmp	260
PID 524 wrote to memory of 4720	524	48FF.tmp	260
PID 524 wrote to memory of 4720	524	48FF.tmp	260
PID 4720 wrote to memory of 1016	4720	8B0A.tmp	446
PID 4720 wrote to memory of 1016	4720	8B0A.tmp	446
PID 4720 wrote to memory of 1016	4720	8B0A.tmp	446
PID 1016 wrote to memory of 3624	1016	49AB.tmp	445
PID 1016 wrote to memory of 3624	1016	49AB.tmp	445
PID 1016 wrote to memory of 3624	1016	49AB.tmp	445
PID 3624 wrote to memory of 2156	3624	49F9.tmp	102
PID 3624 wrote to memory of 2156	3624	49F9.tmp	102
PID 3624 wrote to memory of 2156	3624	49F9.tmp	102
PID 2156 wrote to memory of 1336	2156	4A47.tmp	444
PID 2156 wrote to memory of 1336	2156	4A47.tmp	444
PID 2156 wrote to memory of 1336	2156	4A47.tmp	444
PID 1336 wrote to memory of 1684	1336	4A96.tmp	443
PID 1336 wrote to memory of 1684	1336	4A96.tmp	443
PID 1336 wrote to memory of 1684	1336	4A96.tmp	443
PID 1684 wrote to memory of 3588	1684	4AE4.tmp	442
PID 1684 wrote to memory of 3588	1684	4AE4.tmp	442
PID 1684 wrote to memory of 3588	1684	4AE4.tmp	442
PID 3588 wrote to memory of 2804	3588	4B32.tmp	440
PID 3588 wrote to memory of 2804	3588	4B32.tmp	440
PID 3588 wrote to memory of 2804	3588	4B32.tmp	440
PID 2804 wrote to memory of 4776	2804	4B80.tmp	439
PID 2804 wrote to memory of 4776	2804	4B80.tmp	439
PID 2804 wrote to memory of 4776	2804	4B80.tmp	439
PID 4776 wrote to memory of 3252	4776	4BCE.tmp	437
PID 4776 wrote to memory of 3252	4776	4BCE.tmp	437
PID 4776 wrote to memory of 3252	4776	4BCE.tmp	437
PID 3252 wrote to memory of 3880	3252	4C2C.tmp	436

C:\Users\Admin\AppData\Local\Temp\2024-01-09_276992778a9917c07b3d91cb8920db06_mafia.exe
"C:\Users\Admin\AppData\Local\Temp\2024-01-09_276992778a9917c07b3d91cb8920db06_mafia.exe"
1⤵
- Suspicious use of WriteProcessMemory
PID:2448
- C:\Users\Admin\AppData\Local\Temp\45A4.tmp
  "C:\Users\Admin\AppData\Local\Temp\45A4.tmp"
  2⤵
  - Executes dropped EXE
  - Suspicious use of WriteProcessMemory
  PID:3096
- - C:\Users\Admin\AppData\Local\Temp\4602.tmp
    "C:\Users\Admin\AppData\Local\Temp\4602.tmp"
    3⤵
    PID:2276
  - - C:\Users\Admin\AppData\Local\Temp\4650.tmp
      "C:\Users\Admin\AppData\Local\Temp\4650.tmp"
      4⤵
      PID:1476
    - - C:\Users\Admin\AppData\Local\Temp\46BD.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\46BD.tmp"
        5⤵
        
        PID:5072
      - C:\Users\Admin\AppData\Local\Temp\470B.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\470B.tmp"
        6⤵
        Executes dropped EXE
        Suspicious use of WriteProcessMemory
        
        PID:4540

C:\Users\Admin\AppData\Local\Temp\4759.tmp
"C:\Users\Admin\AppData\Local\Temp\4759.tmp"
1⤵
PID:3876
- C:\Users\Admin\AppData\Local\Temp\47B7.tmp
  "C:\Users\Admin\AppData\Local\Temp\47B7.tmp"
  2⤵
  - Executes dropped EXE
  - Suspicious use of WriteProcessMemory
  PID:2524
- - C:\Users\Admin\AppData\Local\Temp\4815.tmp
    "C:\Users\Admin\AppData\Local\Temp\4815.tmp"
    3⤵
    PID:4824
  - - C:\Users\Admin\AppData\Local\Temp\4863.tmp
      "C:\Users\Admin\AppData\Local\Temp\4863.tmp"
      4⤵
      PID:224
  - - C:\Users\Admin\AppData\Local\Temp\6DCD.tmp
      "C:\Users\Admin\AppData\Local\Temp\6DCD.tmp"
      4⤵
      PID:316

C:\Users\Admin\AppData\Local\Temp\495D.tmp
"C:\Users\Admin\AppData\Local\Temp\495D.tmp"
1⤵
PID:4720

C:\Users\Admin\AppData\Local\Temp\4A47.tmp
"C:\Users\Admin\AppData\Local\Temp\4A47.tmp"
1⤵
- Executes dropped EXE
- Suspicious use of WriteProcessMemory
PID:2156
- C:\Users\Admin\AppData\Local\Temp\4A96.tmp
  "C:\Users\Admin\AppData\Local\Temp\4A96.tmp"
  2⤵
  - Executes dropped EXE
  - Suspicious use of WriteProcessMemory
  PID:1336

C:\Users\Admin\AppData\Local\Temp\4F68.tmp
"C:\Users\Admin\AppData\Local\Temp\4F68.tmp"
1⤵
- Executes dropped EXE
PID:4136
- C:\Users\Admin\AppData\Local\Temp\4FC6.tmp
  "C:\Users\Admin\AppData\Local\Temp\4FC6.tmp"
  2⤵
  PID:4872

C:\Users\Admin\AppData\Local\Temp\5014.tmp
"C:\Users\Admin\AppData\Local\Temp\5014.tmp"
1⤵
PID:2580
- C:\Users\Admin\AppData\Local\Temp\5062.tmp
  "C:\Users\Admin\AppData\Local\Temp\5062.tmp"
  2⤵
  PID:2276
- - C:\Users\Admin\AppData\Local\Temp\50C0.tmp
    "C:\Users\Admin\AppData\Local\Temp\50C0.tmp"
    3⤵
    PID:4944
  - - C:\Users\Admin\AppData\Local\Temp\50FE.tmp
      "C:\Users\Admin\AppData\Local\Temp\50FE.tmp"
      4⤵
      PID:2700
    - - C:\Users\Admin\AppData\Local\Temp\514C.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\514C.tmp"
        5⤵
        
        PID:3100
      - C:\Users\Admin\AppData\Local\Temp\519A.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\519A.tmp"
        6⤵
        Executes dropped EXE
        
        PID:4500
        
        C:\Users\Admin\AppData\Local\Temp\51E9.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\51E9.tmp"
        7⤵
        Executes dropped EXE
        
        PID:332
        
        C:\Users\Admin\AppData\Local\Temp\5237.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\5237.tmp"
        8⤵
        
        PID:3696
      - C:\Users\Admin\AppData\Local\Temp\BD64.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\BD64.tmp"
        6⤵
        
        PID:4444
        
        C:\Users\Admin\AppData\Local\Temp\BDB2.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\BDB2.tmp"
        7⤵
        
        PID:4040
        
        C:\Users\Admin\AppData\Local\Temp\BDF1.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\BDF1.tmp"
        8⤵
        
        PID:4116
        
        C:\Users\Admin\AppData\Local\Temp\BE4F.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\BE4F.tmp"
        9⤵
        
        PID:1444
        
        C:\Users\Admin\AppData\Local\Temp\BECC.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\BECC.tmp"
        10⤵
        
        PID:2096
        
        C:\Users\Admin\AppData\Local\Temp\BF39.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\BF39.tmp"
        11⤵
        
        PID:3264
        
        C:\Users\Admin\AppData\Local\Temp\BF87.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\BF87.tmp"
        12⤵
        
        PID:3092
        
        C:\Users\Admin\AppData\Local\Temp\BFD5.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\BFD5.tmp"
        13⤵
        
        PID:184
        
        C:\Users\Admin\AppData\Local\Temp\C052.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\C052.tmp"
        14⤵
        
        PID:3632
        
        C:\Users\Admin\AppData\Local\Temp\C0A0.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\C0A0.tmp"
        15⤵
        
        PID:4368
        
        C:\Users\Admin\AppData\Local\Temp\C0EE.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\C0EE.tmp"
        16⤵
        Executes dropped EXE
        
        PID:2276
        
        C:\Users\Admin\AppData\Local\Temp\C13D.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\C13D.tmp"
        17⤵
        
        PID:2580
        
        C:\Users\Admin\AppData\Local\Temp\C19A.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\C19A.tmp"
        18⤵
        
        PID:3792
        
        C:\Users\Admin\AppData\Local\Temp\C256.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\C256.tmp"
        19⤵
        
        PID:1372
        
        C:\Users\Admin\AppData\Local\Temp\4DFC.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\4DFC.tmp"
        14⤵
        
        PID:220
        
        C:\Users\Admin\AppData\Local\Temp\4E4A.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\4E4A.tmp"
        15⤵
        
        PID:4364
        
        C:\Users\Admin\AppData\Local\Temp\4E98.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\4E98.tmp"
        16⤵
        
        PID:3316
        
        C:\Users\Admin\AppData\Local\Temp\4EE6.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\4EE6.tmp"
        17⤵
        
        PID:4440
        
        C:\Users\Admin\AppData\Local\Temp\4F25.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\4F25.tmp"
        18⤵
        
        PID:2728
        
        C:\Users\Admin\AppData\Local\Temp\4F73.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\4F73.tmp"
        19⤵
        
        PID:1420
        
        C:\Users\Admin\AppData\Local\Temp\4FC1.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\4FC1.tmp"
        20⤵
        
        PID:2580
        
        C:\Users\Admin\AppData\Local\Temp\500F.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\500F.tmp"
        21⤵
        
        PID:4716
        
        C:\Users\Admin\AppData\Local\Temp\505D.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\505D.tmp"
        22⤵
        
        PID:1460
        
        C:\Users\Admin\AppData\Local\Temp\50AB.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\50AB.tmp"
        23⤵
        
        PID:1220
        
        C:\Users\Admin\AppData\Local\Temp\50F9.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\50F9.tmp"
        24⤵
        
        PID:3792
        
        C:\Users\Admin\AppData\Local\Temp\5148.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\5148.tmp"
        25⤵
        
        PID:316
        
        C:\Users\Admin\AppData\Local\Temp\5196.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\5196.tmp"
        26⤵
        
        PID:2200
        
        C:\Users\Admin\AppData\Local\Temp\51E4.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\51E4.tmp"
        27⤵
        
        PID:1484
        
        C:\Users\Admin\AppData\Local\Temp\5232.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\5232.tmp"
        28⤵
        
        PID:4252
        
        C:\Users\Admin\AppData\Local\Temp\5270.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\5270.tmp"
        29⤵
        
        PID:4084
        
        C:\Users\Admin\AppData\Local\Temp\52BF.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\52BF.tmp"
        30⤵
        
        PID:3696
        
        C:\Users\Admin\AppData\Local\Temp\530D.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\530D.tmp"
        31⤵
        
        PID:3320
        
        C:\Users\Admin\AppData\Local\Temp\535B.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\535B.tmp"
        32⤵
        
        PID:1364
        
        C:\Users\Admin\AppData\Local\Temp\53A9.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\53A9.tmp"
        33⤵
        
        PID:848
        
        C:\Users\Admin\AppData\Local\Temp\53F7.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\53F7.tmp"
        34⤵
        
        PID:1628
        
        C:\Users\Admin\AppData\Local\Temp\5445.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\5445.tmp"
        35⤵
        
        PID:3192
        
        C:\Users\Admin\AppData\Local\Temp\5493.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\5493.tmp"
        36⤵
        
        PID:1820
        
        C:\Users\Admin\AppData\Local\Temp\54E1.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\54E1.tmp"
        37⤵
        
        PID:4584
        
        C:\Users\Admin\AppData\Local\Temp\5530.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\5530.tmp"
        38⤵
        
        PID:4072
        
        C:\Users\Admin\AppData\Local\Temp\557E.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\557E.tmp"
        39⤵
        
        PID:2196

C:\Users\Admin\AppData\Local\Temp\5285.tmp
"C:\Users\Admin\AppData\Local\Temp\5285.tmp"
1⤵
PID:3628
- C:\Users\Admin\AppData\Local\Temp\52D3.tmp
  "C:\Users\Admin\AppData\Local\Temp\52D3.tmp"
  2⤵
  PID:5032
- - C:\Users\Admin\AppData\Local\Temp\5311.tmp
    "C:\Users\Admin\AppData\Local\Temp\5311.tmp"
    3⤵
    PID:1144
  - - C:\Users\Admin\AppData\Local\Temp\538E.tmp
      "C:\Users\Admin\AppData\Local\Temp\538E.tmp"
      4⤵
      PID:3640
    - - C:\Users\Admin\AppData\Local\Temp\53DD.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\53DD.tmp"
        5⤵
        Executes dropped EXE
        
        PID:2332
      - C:\Users\Admin\AppData\Local\Temp\542B.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\542B.tmp"
        6⤵
        Executes dropped EXE
        
        PID:3256
- - C:\Users\Admin\AppData\Local\Temp\89A2.tmp
    "C:\Users\Admin\AppData\Local\Temp\89A2.tmp"
    3⤵
    PID:224
  - - C:\Users\Admin\AppData\Local\Temp\89E1.tmp
      "C:\Users\Admin\AppData\Local\Temp\89E1.tmp"
      4⤵
      PID:4508
    - - C:\Users\Admin\AppData\Local\Temp\8A2F.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\8A2F.tmp"
        5⤵
        
        PID:4240

C:\Users\Admin\AppData\Local\Temp\5469.tmp
"C:\Users\Admin\AppData\Local\Temp\5469.tmp"
1⤵
PID:2560

C:\Users\Admin\AppData\Local\Temp\54F6.tmp
"C:\Users\Admin\AppData\Local\Temp\54F6.tmp"
1⤵
PID:4908
- C:\Users\Admin\AppData\Local\Temp\5544.tmp
  "C:\Users\Admin\AppData\Local\Temp\5544.tmp"
  2⤵
  - Executes dropped EXE
  PID:4672
- - C:\Users\Admin\AppData\Local\Temp\5592.tmp
    "C:\Users\Admin\AppData\Local\Temp\5592.tmp"
    3⤵
    PID:436
  - - C:\Users\Admin\AppData\Local\Temp\55E0.tmp
      "C:\Users\Admin\AppData\Local\Temp\55E0.tmp"
      4⤵
      PID:3312

C:\Users\Admin\AppData\Local\Temp\567C.tmp
"C:\Users\Admin\AppData\Local\Temp\567C.tmp"
1⤵
- Executes dropped EXE
PID:2432
- C:\Users\Admin\AppData\Local\Temp\56CB.tmp
  "C:\Users\Admin\AppData\Local\Temp\56CB.tmp"
  2⤵
  - Executes dropped EXE
  PID:628
- - C:\Users\Admin\AppData\Local\Temp\5719.tmp
    "C:\Users\Admin\AppData\Local\Temp\5719.tmp"
    3⤵
    - Executes dropped EXE
    PID:3224

C:\Users\Admin\AppData\Local\Temp\5767.tmp
"C:\Users\Admin\AppData\Local\Temp\5767.tmp"
1⤵
PID:4104
- C:\Users\Admin\AppData\Local\Temp\57B5.tmp
  "C:\Users\Admin\AppData\Local\Temp\57B5.tmp"
  2⤵
  PID:3252
- - C:\Users\Admin\AppData\Local\Temp\5803.tmp
    "C:\Users\Admin\AppData\Local\Temp\5803.tmp"
    3⤵
    - Executes dropped EXE
    PID:868
  - - C:\Users\Admin\AppData\Local\Temp\5861.tmp
      "C:\Users\Admin\AppData\Local\Temp\5861.tmp"
      4⤵
      PID:2076
    - - C:\Users\Admin\AppData\Local\Temp\58AF.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\58AF.tmp"
        5⤵
        
        PID:3564
    - - C:\Users\Admin\AppData\Local\Temp\756E.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\756E.tmp"
        5⤵
        Executes dropped EXE
        
        PID:3564
      - C:\Users\Admin\AppData\Local\Temp\75BC.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\75BC.tmp"
        6⤵
        
        PID:4252
        
        C:\Users\Admin\AppData\Local\Temp\8F01.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\8F01.tmp"
        7⤵
        
        PID:4444
        
        C:\Users\Admin\AppData\Local\Temp\8F4F.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\8F4F.tmp"
        8⤵
        
        PID:1820
        
        C:\Users\Admin\AppData\Local\Temp\8F9D.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\8F9D.tmp"
        9⤵
        
        PID:4660
      - C:\Users\Admin\AppData\Local\Temp\58FD.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\58FD.tmp"
        6⤵
        Executes dropped EXE
        
        PID:3064

C:\Users\Admin\AppData\Local\Temp\594B.tmp
"C:\Users\Admin\AppData\Local\Temp\594B.tmp"
1⤵
PID:1440
- C:\Users\Admin\AppData\Local\Temp\5999.tmp
  "C:\Users\Admin\AppData\Local\Temp\5999.tmp"
  2⤵
  PID:4836
- - C:\Users\Admin\AppData\Local\Temp\59E7.tmp
    "C:\Users\Admin\AppData\Local\Temp\59E7.tmp"
    3⤵
    PID:1552
  - - C:\Users\Admin\AppData\Local\Temp\5A36.tmp
      "C:\Users\Admin\AppData\Local\Temp\5A36.tmp"
      4⤵
      PID:4552

C:\Users\Admin\AppData\Local\Temp\5A84.tmp
"C:\Users\Admin\AppData\Local\Temp\5A84.tmp"
1⤵
PID:5088
- C:\Users\Admin\AppData\Local\Temp\5AD2.tmp
  "C:\Users\Admin\AppData\Local\Temp\5AD2.tmp"
  2⤵
  PID:4368
- - C:\Users\Admin\AppData\Local\Temp\5B20.tmp
    "C:\Users\Admin\AppData\Local\Temp\5B20.tmp"
    3⤵
    PID:5016
- - C:\Users\Admin\AppData\Local\Temp\857C.tmp
    "C:\Users\Admin\AppData\Local\Temp\857C.tmp"
    3⤵
    PID:4544
  - - C:\Users\Admin\AppData\Local\Temp\85CA.tmp
      "C:\Users\Admin\AppData\Local\Temp\85CA.tmp"
      4⤵
      PID:4196
    - - C:\Users\Admin\AppData\Local\Temp\8618.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\8618.tmp"
        5⤵
        
        PID:4224
      - C:\Users\Admin\AppData\Local\Temp\8666.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\8666.tmp"
        6⤵
        
        PID:4580
        
        C:\Users\Admin\AppData\Local\Temp\86B4.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\86B4.tmp"
        7⤵
        
        PID:2408
        
        C:\Users\Admin\AppData\Local\Temp\8702.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\8702.tmp"
        8⤵
        
        PID:2772
        
        C:\Users\Admin\AppData\Local\Temp\8750.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\8750.tmp"
        9⤵
        
        PID:2632
        
        C:\Users\Admin\AppData\Local\Temp\7ADD.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\7ADD.tmp"
        10⤵
        
        PID:1372
        
        C:\Users\Admin\AppData\Local\Temp\C2A4.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\C2A4.tmp"
        11⤵
        
        PID:4944
        
        C:\Users\Admin\AppData\Local\Temp\C2E2.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\C2E2.tmp"
        12⤵
        
        PID:4376
        
        C:\Users\Admin\AppData\Local\Temp\C331.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\C331.tmp"
        13⤵
        
        PID:5072
        
        C:\Users\Admin\AppData\Local\Temp\C37F.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\C37F.tmp"
        14⤵
        
        PID:3432
        
        C:\Users\Admin\AppData\Local\Temp\C3CD.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\C3CD.tmp"
        15⤵
        
        PID:4172
        
        C:\Users\Admin\AppData\Local\Temp\C41B.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\C41B.tmp"
        16⤵
        
        PID:3748
        
        C:\Users\Admin\AppData\Local\Temp\C469.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\C469.tmp"
        17⤵
        
        PID:4536
        
        C:\Users\Admin\AppData\Local\Temp\C4B7.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\C4B7.tmp"
        18⤵
        
        PID:4608
        
        C:\Users\Admin\AppData\Local\Temp\C505.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\C505.tmp"
        19⤵
        
        PID:3640
        
        C:\Users\Admin\AppData\Local\Temp\C553.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\C553.tmp"
        20⤵
        
        PID:4732
        
        C:\Users\Admin\AppData\Local\Temp\C5A2.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\C5A2.tmp"
        21⤵
        
        PID:3256
        
        C:\Users\Admin\AppData\Local\Temp\C5F0.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\C5F0.tmp"
        22⤵
        
        PID:392
        
        C:\Users\Admin\AppData\Local\Temp\C63E.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\C63E.tmp"
        23⤵
        
        PID:4264
        
        C:\Users\Admin\AppData\Local\Temp\C67C.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\C67C.tmp"
        24⤵
        
        PID:4900
        
        C:\Users\Admin\AppData\Local\Temp\C6CA.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\C6CA.tmp"
        25⤵
        
        PID:1700
        
        C:\Users\Admin\AppData\Local\Temp\C719.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\C719.tmp"
        26⤵
        
        PID:2328
        
        C:\Users\Admin\AppData\Local\Temp\C767.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\C767.tmp"
        27⤵
        
        PID:4340
        
        C:\Users\Admin\AppData\Local\Temp\C7B5.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\C7B5.tmp"
        28⤵
        
        PID:3960
        
        C:\Users\Admin\AppData\Local\Temp\C803.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\C803.tmp"
        29⤵
        
        PID:4356
        
        C:\Users\Admin\AppData\Local\Temp\C851.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\C851.tmp"
        30⤵
        
        PID:3008
        
        C:\Users\Admin\AppData\Local\Temp\C890.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\C890.tmp"
        31⤵
        
        PID:3696
        
        C:\Users\Admin\AppData\Local\Temp\C8DE.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\C8DE.tmp"
        32⤵
        
        PID:1532
        
        C:\Users\Admin\AppData\Local\Temp\C92C.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\C92C.tmp"
        33⤵
        
        PID:3292
        
        C:\Users\Admin\AppData\Local\Temp\C97A.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\C97A.tmp"
        34⤵
        
        PID:3028
        
        C:\Users\Admin\AppData\Local\Temp\C9B8.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\C9B8.tmp"
        35⤵
        
        PID:3068
        
        C:\Users\Admin\AppData\Local\Temp\CA07.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\CA07.tmp"
        36⤵
        
        PID:4444
        
        C:\Users\Admin\AppData\Local\Temp\CA55.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\CA55.tmp"
        37⤵
        
        PID:3376
        
        C:\Users\Admin\AppData\Local\Temp\CAA3.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\CAA3.tmp"
        38⤵
        
        PID:3600
        
        C:\Users\Admin\AppData\Local\Temp\CAE1.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\CAE1.tmp"
        39⤵
        
        PID:2876
        
        C:\Users\Admin\AppData\Local\Temp\CB2F.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\CB2F.tmp"
        40⤵
        
        PID:4972
        
        C:\Users\Admin\AppData\Local\Temp\CB7E.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\CB7E.tmp"
        41⤵
        
        PID:2420
        
        C:\Users\Admin\AppData\Local\Temp\CBBC.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\CBBC.tmp"
        42⤵
        
        PID:220
        
        C:\Users\Admin\AppData\Local\Temp\CC0A.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\CC0A.tmp"
        43⤵
        
        PID:1012
        
        C:\Users\Admin\AppData\Local\Temp\CC49.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\CC49.tmp"
        44⤵
        
        PID:4656
        
        C:\Users\Admin\AppData\Local\Temp\CC97.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\CC97.tmp"
        45⤵
        
        PID:2256
        
        C:\Users\Admin\AppData\Local\Temp\CCE5.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\CCE5.tmp"
        46⤵
        
        PID:4196
        
        C:\Users\Admin\AppData\Local\Temp\CD33.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\CD33.tmp"
        47⤵
        
        PID:1128
        
        C:\Users\Admin\AppData\Local\Temp\CD72.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\CD72.tmp"
        48⤵
        
        PID:2772
        
        C:\Users\Admin\AppData\Local\Temp\CDC0.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\CDC0.tmp"
        49⤵
        
        PID:2408
        
        C:\Users\Admin\AppData\Local\Temp\CE0E.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\CE0E.tmp"
        50⤵
        
        PID:1372
        
        C:\Users\Admin\AppData\Local\Temp\CE5C.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\CE5C.tmp"
        51⤵
        
        PID:4028
        
        C:\Users\Admin\AppData\Local\Temp\CEAA.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\CEAA.tmp"
        52⤵
        
        PID:4376
        
        C:\Users\Admin\AppData\Local\Temp\CEF8.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\CEF8.tmp"
        53⤵
        
        PID:212
        
        C:\Users\Admin\AppData\Local\Temp\CF46.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\CF46.tmp"
        54⤵
        
        PID:1476
        
        C:\Users\Admin\AppData\Local\Temp\CF94.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\CF94.tmp"
        55⤵
        
        PID:4604
        
        C:\Users\Admin\AppData\Local\Temp\CFE3.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\CFE3.tmp"
        56⤵
        
        PID:4184
        
        C:\Users\Admin\AppData\Local\Temp\D031.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\D031.tmp"
        57⤵
        
        PID:4108
        
        C:\Users\Admin\AppData\Local\Temp\D07F.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\D07F.tmp"
        58⤵
        
        PID:1484
        
        C:\Users\Admin\AppData\Local\Temp\D0CD.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\D0CD.tmp"
        59⤵
        
        PID:2500
        
        C:\Users\Admin\AppData\Local\Temp\D11B.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\D11B.tmp"
        60⤵
        
        PID:1720
        
        C:\Users\Admin\AppData\Local\Temp\D169.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\D169.tmp"
        61⤵
        
        PID:364
        
        C:\Users\Admin\AppData\Local\Temp\D1B7.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\D1B7.tmp"
        62⤵
        
        PID:3820
        
        C:\Users\Admin\AppData\Local\Temp\D205.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\D205.tmp"
        63⤵
        
        PID:3320
        
        C:\Users\Admin\AppData\Local\Temp\D254.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\D254.tmp"
        64⤵
        
        PID:4212
        
        C:\Users\Admin\AppData\Local\Temp\D2A2.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\D2A2.tmp"
        65⤵
        
        PID:444
        
        C:\Users\Admin\AppData\Local\Temp\D2F0.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\D2F0.tmp"
        66⤵
        
        PID:3616
        
        C:\Users\Admin\AppData\Local\Temp\D33E.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\D33E.tmp"
        67⤵
        Executes dropped EXE
        
        PID:1440
        
        C:\Users\Admin\AppData\Local\Temp\D38C.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\D38C.tmp"
        68⤵
        
        PID:3164
        
        C:\Users\Admin\AppData\Local\Temp\D3DA.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\D3DA.tmp"
        69⤵
        
        PID:4904
        
        C:\Users\Admin\AppData\Local\Temp\D428.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\D428.tmp"
        70⤵
        
        PID:528
        
        C:\Users\Admin\AppData\Local\Temp\D476.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\D476.tmp"
        71⤵
        
        PID:3172
        
        C:\Users\Admin\AppData\Local\Temp\D4C5.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\D4C5.tmp"
        72⤵
        
        PID:5064
        
        C:\Users\Admin\AppData\Local\Temp\D513.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\D513.tmp"
        73⤵
        
        PID:4040
        
        C:\Users\Admin\AppData\Local\Temp\D561.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\D561.tmp"
        74⤵
        
        PID:4116
        
        C:\Users\Admin\AppData\Local\Temp\D5AF.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\D5AF.tmp"
        75⤵
        
        PID:1444
        
        C:\Users\Admin\AppData\Local\Temp\D5FD.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\D5FD.tmp"
        76⤵
        
        PID:5016
        
        C:\Users\Admin\AppData\Local\Temp\D64B.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\D64B.tmp"
        77⤵
        
        PID:4912
        
        C:\Users\Admin\AppData\Local\Temp\D699.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\D699.tmp"
        78⤵
        
        PID:5044
        
        C:\Users\Admin\AppData\Local\Temp\D6E7.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\D6E7.tmp"
        79⤵
        
        PID:3632
        
        C:\Users\Admin\AppData\Local\Temp\D736.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\D736.tmp"
        80⤵
        
        PID:4372
        
        C:\Users\Admin\AppData\Local\Temp\D793.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\D793.tmp"
        81⤵
        
        PID:508
        
        C:\Users\Admin\AppData\Local\Temp\D7F1.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\D7F1.tmp"
        82⤵
        
        PID:4056
        
        C:\Users\Admin\AppData\Local\Temp\D84F.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\D84F.tmp"
        83⤵
        
        PID:3340
        
        C:\Users\Admin\AppData\Local\Temp\D89D.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\D89D.tmp"
        84⤵
        
        PID:2728
        
        C:\Users\Admin\AppData\Local\Temp\D8EB.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\D8EB.tmp"
        85⤵
        
        PID:2616
        
        C:\Users\Admin\AppData\Local\Temp\D949.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\D949.tmp"
        86⤵
        
        PID:1360
        
        C:\Users\Admin\AppData\Local\Temp\D987.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\D987.tmp"
        87⤵
        
        PID:1992
        
        C:\Users\Admin\AppData\Local\Temp\D9D5.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\D9D5.tmp"
        88⤵
        
        PID:3044
        
        C:\Users\Admin\AppData\Local\Temp\DA33.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\DA33.tmp"
        89⤵
        
        PID:3900
        
        C:\Users\Admin\AppData\Local\Temp\E908.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\E908.tmp"
        56⤵
        
        PID:4608
        
        C:\Users\Admin\AppData\Local\Temp\E947.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\E947.tmp"
        57⤵
        
        PID:1212
        
        C:\Users\Admin\AppData\Local\Temp\E985.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\E985.tmp"
        58⤵
        
        PID:2200
        
        C:\Users\Admin\AppData\Local\Temp\E9D3.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\E9D3.tmp"
        59⤵
        
        PID:332
        
        C:\Users\Admin\AppData\Local\Temp\EA21.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\EA21.tmp"
        60⤵
        
        PID:3096
        
        C:\Users\Admin\AppData\Local\Temp\EA6F.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\EA6F.tmp"
        61⤵
        
        PID:4432
        
        C:\Users\Admin\AppData\Local\Temp\EABE.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\EABE.tmp"
        62⤵
        
        PID:408
        
        C:\Users\Admin\AppData\Local\Temp\EB1B.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\EB1B.tmp"
        63⤵
        
        PID:1676
        
        C:\Users\Admin\AppData\Local\Temp\EB69.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\EB69.tmp"
        64⤵
        
        PID:1364
        
        C:\Users\Admin\AppData\Local\Temp\EBB8.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\EBB8.tmp"
        65⤵
        
        PID:2328
        
        C:\Users\Admin\AppData\Local\Temp\EC06.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\EC06.tmp"
        66⤵
        
        PID:1628
        
        C:\Users\Admin\AppData\Local\Temp\EC54.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\EC54.tmp"
        67⤵
        
        PID:2788
        
        C:\Users\Admin\AppData\Local\Temp\ECA2.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\ECA2.tmp"
        68⤵
        
        PID:444
        
        C:\Users\Admin\AppData\Local\Temp\ECF0.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\ECF0.tmp"
        69⤵
        
        PID:4344
        
        C:\Users\Admin\AppData\Local\Temp\ED3E.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\ED3E.tmp"
        70⤵
        
        PID:4292
        
        C:\Users\Admin\AppData\Local\Temp\ED8C.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\ED8C.tmp"
        71⤵
        
        PID:3100
        
        C:\Users\Admin\AppData\Local\Temp\EDDA.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\EDDA.tmp"
        72⤵
        
        PID:724
        
        C:\Users\Admin\AppData\Local\Temp\EE29.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\EE29.tmp"
        73⤵
        
        PID:364
        
        C:\Users\Admin\AppData\Local\Temp\EE77.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\EE77.tmp"
        74⤵
        
        PID:2324
        
        C:\Users\Admin\AppData\Local\Temp\EEC5.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\EEC5.tmp"
        75⤵
        
        PID:4248
        
        C:\Users\Admin\AppData\Local\Temp\EF13.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\EF13.tmp"
        76⤵
        
        PID:3376
        
        C:\Users\Admin\AppData\Local\Temp\EF61.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\EF61.tmp"
        77⤵
        
        PID:4116
        
        C:\Users\Admin\AppData\Local\Temp\EFA0.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\EFA0.tmp"
        78⤵
        
        PID:4972
        
        C:\Users\Admin\AppData\Local\Temp\EFEE.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\EFEE.tmp"
        79⤵
        
        PID:5016
        
        C:\Users\Admin\AppData\Local\Temp\F03C.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\F03C.tmp"
        80⤵
        
        PID:4912
        
        C:\Users\Admin\AppData\Local\Temp\F08A.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\F08A.tmp"
        81⤵
        
        PID:5044
        
        C:\Users\Admin\AppData\Local\Temp\F0D8.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\F0D8.tmp"
        82⤵
        
        PID:3632
        
        C:\Users\Admin\AppData\Local\Temp\F126.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\F126.tmp"
        83⤵
        
        PID:4372
        
        C:\Users\Admin\AppData\Local\Temp\F174.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\F174.tmp"
        84⤵
        
        PID:816
        
        C:\Users\Admin\AppData\Local\Temp\F1C2.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\F1C2.tmp"
        85⤵
        
        PID:4496
        
        C:\Users\Admin\AppData\Local\Temp\F211.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\F211.tmp"
        86⤵
        
        PID:216
        
        C:\Users\Admin\AppData\Local\Temp\F25F.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\F25F.tmp"
        87⤵
        
        PID:3792
        
        C:\Users\Admin\AppData\Local\Temp\F2AD.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\F2AD.tmp"
        88⤵
        
        PID:1360
        
        C:\Users\Admin\AppData\Local\Temp\F32A.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\F32A.tmp"
        89⤵
        
        PID:1992
        
        C:\Users\Admin\AppData\Local\Temp\F378.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\F378.tmp"
        90⤵
        
        PID:3044
        
        C:\Users\Admin\AppData\Local\Temp\F3E5.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\F3E5.tmp"
        91⤵
        
        PID:2688
        
        C:\Users\Admin\AppData\Local\Temp\F453.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\F453.tmp"
        92⤵
        
        PID:4224
        
        C:\Users\Admin\AppData\Local\Temp\F4A1.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\F4A1.tmp"
        93⤵
        
        PID:316
        
        C:\Users\Admin\AppData\Local\Temp\F702.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\F702.tmp"
        60⤵
        
        PID:2196
        
        C:\Users\Admin\AppData\Local\Temp\F750.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\F750.tmp"
        61⤵
        
        PID:4084
        
        C:\Users\Admin\AppData\Local\Temp\F79E.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\F79E.tmp"
        62⤵
        
        PID:2592
        
        C:\Users\Admin\AppData\Local\Temp\F81B.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\F81B.tmp"
        63⤵
        
        PID:1676
        
        C:\Users\Admin\AppData\Local\Temp\F8A8.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\F8A8.tmp"
        64⤵
        
        PID:1364
        
        C:\Users\Admin\AppData\Local\Temp\F8F6.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\F8F6.tmp"
        65⤵
        
        PID:2328
        
        C:\Users\Admin\AppData\Local\Temp\F944.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\F944.tmp"
        66⤵
        
        PID:3008
        
        C:\Users\Admin\AppData\Local\Temp\F983.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\F983.tmp"
        31⤵
        
        PID:2788
        
        C:\Users\Admin\AppData\Local\Temp\F9D1.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\F9D1.tmp"
        32⤵
        
        PID:444
        
        C:\Users\Admin\AppData\Local\Temp\FA6D.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\FA6D.tmp"
        33⤵
        
        PID:4344
        
        C:\Users\Admin\AppData\Local\Temp\FAEA.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\FAEA.tmp"
        34⤵
        
        PID:4292
        
        C:\Users\Admin\AppData\Local\Temp\FB67.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\FB67.tmp"
        35⤵
        
        PID:3172
        
        C:\Users\Admin\AppData\Local\Temp\FBC5.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\FBC5.tmp"
        36⤵
        
        PID:3912
        
        C:\Users\Admin\AppData\Local\Temp\FC13.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\FC13.tmp"
        37⤵
        
        PID:5064
        
        C:\Users\Admin\AppData\Local\Temp\FC61.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\FC61.tmp"
        38⤵
        
        PID:3528
        
        C:\Users\Admin\AppData\Local\Temp\FCAF.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\FCAF.tmp"
        39⤵
        
        PID:3264
        
        C:\Users\Admin\AppData\Local\Temp\FD3C.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\FD3C.tmp"
        40⤵
        
        PID:4884

C:\Users\Admin\AppData\Local\Temp\5B6E.tmp
"C:\Users\Admin\AppData\Local\Temp\5B6E.tmp"
1⤵
PID:1420
- C:\Users\Admin\AppData\Local\Temp\5BBC.tmp
  "C:\Users\Admin\AppData\Local\Temp\5BBC.tmp"
  2⤵
  PID:2880

C:\Users\Admin\AppData\Local\Temp\5C0A.tmp
"C:\Users\Admin\AppData\Local\Temp\5C0A.tmp"
1⤵
PID:2632
- C:\Users\Admin\AppData\Local\Temp\5C58.tmp
  "C:\Users\Admin\AppData\Local\Temp\5C58.tmp"
  2⤵
  - Executes dropped EXE
  PID:2580
- - C:\Users\Admin\AppData\Local\Temp\5CA7.tmp
    "C:\Users\Admin\AppData\Local\Temp\5CA7.tmp"
    3⤵
    PID:4780
  - - C:\Users\Admin\AppData\Local\Temp\5CF5.tmp
      "C:\Users\Admin\AppData\Local\Temp\5CF5.tmp"
      4⤵
      PID:3836

C:\Users\Admin\AppData\Local\Temp\5D43.tmp
"C:\Users\Admin\AppData\Local\Temp\5D43.tmp"
1⤵
PID:392
- C:\Users\Admin\AppData\Local\Temp\5D81.tmp
  "C:\Users\Admin\AppData\Local\Temp\5D81.tmp"
  2⤵
  PID:1476
- - C:\Users\Admin\AppData\Local\Temp\5DCF.tmp
    "C:\Users\Admin\AppData\Local\Temp\5DCF.tmp"
    3⤵
    PID:4820

C:\Users\Admin\AppData\Local\Temp\5E1E.tmp
"C:\Users\Admin\AppData\Local\Temp\5E1E.tmp"
1⤵
PID:4384
- C:\Users\Admin\AppData\Local\Temp\5E6C.tmp
  "C:\Users\Admin\AppData\Local\Temp\5E6C.tmp"
  2⤵
  PID:3060
- - C:\Users\Admin\AppData\Local\Temp\5EBA.tmp
    "C:\Users\Admin\AppData\Local\Temp\5EBA.tmp"
    3⤵
    PID:316
  - - C:\Users\Admin\AppData\Local\Temp\5F08.tmp
      "C:\Users\Admin\AppData\Local\Temp\5F08.tmp"
      4⤵
      PID:3628
    - - C:\Users\Admin\AppData\Local\Temp\5F56.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\5F56.tmp"
        5⤵
        
        PID:4508
      - C:\Users\Admin\AppData\Local\Temp\5FA4.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\5FA4.tmp"
        6⤵
        
        PID:3192
        
        C:\Users\Admin\AppData\Local\Temp\5FF2.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\5FF2.tmp"
        7⤵
        
        PID:812
    - - C:\Users\Admin\AppData\Local\Temp\A18F.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\A18F.tmp"
        5⤵
        
        PID:316
      - C:\Users\Admin\AppData\Local\Temp\A1DD.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\A1DD.tmp"
        6⤵
        Executes dropped EXE
        
        PID:3640
        
        C:\Users\Admin\AppData\Local\Temp\A22B.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\A22B.tmp"
        7⤵
        
        PID:3256
        
        C:\Users\Admin\AppData\Local\Temp\A27A.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\A27A.tmp"
        8⤵
        
        PID:2248
        
        C:\Users\Admin\AppData\Local\Temp\A2C8.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\A2C8.tmp"
        9⤵
        
        PID:620
        
        C:\Users\Admin\AppData\Local\Temp\A316.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\A316.tmp"
        10⤵
        
        PID:1412
        
        C:\Users\Admin\AppData\Local\Temp\A364.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\A364.tmp"
        11⤵
        
        PID:4104
        
        C:\Users\Admin\AppData\Local\Temp\A3B2.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\A3B2.tmp"
        12⤵
        
        PID:1612
        
        C:\Users\Admin\AppData\Local\Temp\A400.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\A400.tmp"
        13⤵
        
        PID:928
        
        C:\Users\Admin\AppData\Local\Temp\A44E.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\A44E.tmp"
        14⤵
        
        PID:4356
        
        C:\Users\Admin\AppData\Local\Temp\A49C.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\A49C.tmp"
        15⤵
        
        PID:3616
        
        C:\Users\Admin\AppData\Local\Temp\A4DB.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\A4DB.tmp"
        16⤵
        
        PID:3656
        
        C:\Users\Admin\AppData\Local\Temp\A519.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\A519.tmp"
        17⤵
        
        PID:3800
        
        C:\Users\Admin\AppData\Local\Temp\8EB3.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\8EB3.tmp"
        18⤵
        
        PID:4252
        
        C:\Users\Admin\AppData\Local\Temp\7520.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\7520.tmp"
        16⤵
        Executes dropped EXE
        
        PID:2076
        
        C:\Users\Admin\AppData\Local\Temp\6FB2.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\6FB2.tmp"
        8⤵
        
        PID:4480
      - C:\Users\Admin\AppData\Local\Temp\6E1B.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\6E1B.tmp"
        6⤵
        
        PID:1308
      - C:\Users\Admin\AppData\Local\Temp\F4EF.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\F4EF.tmp"
        6⤵
        
        PID:3272
        
        C:\Users\Admin\AppData\Local\Temp\F53D.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\F53D.tmp"
        7⤵
        
        PID:2988
        
        C:\Users\Admin\AppData\Local\Temp\F59B.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\F59B.tmp"
        8⤵
        
        PID:4608
        
        C:\Users\Admin\AppData\Local\Temp\F618.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\F618.tmp"
        9⤵
        
        PID:4172
        
        C:\Users\Admin\AppData\Local\Temp\F685.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\F685.tmp"
        10⤵
        
        PID:624
- C:\Users\Admin\AppData\Local\Temp\88B8.tmp
  "C:\Users\Admin\AppData\Local\Temp\88B8.tmp"
  2⤵
  PID:4172
- - C:\Users\Admin\AppData\Local\Temp\8906.tmp
    "C:\Users\Admin\AppData\Local\Temp\8906.tmp"
    3⤵
    PID:3060
  - - C:\Users\Admin\AppData\Local\Temp\8954.tmp
      "C:\Users\Admin\AppData\Local\Temp\8954.tmp"
      4⤵
      Executes dropped EXE
      PID:5032

C:\Users\Admin\AppData\Local\Temp\6040.tmp
"C:\Users\Admin\AppData\Local\Temp\6040.tmp"
1⤵
PID:4716
- C:\Users\Admin\AppData\Local\Temp\608F.tmp
  "C:\Users\Admin\AppData\Local\Temp\608F.tmp"
  2⤵
  PID:3808
- - C:\Users\Admin\AppData\Local\Temp\60DD.tmp
    "C:\Users\Admin\AppData\Local\Temp\60DD.tmp"
    3⤵
    PID:2260

C:\Users\Admin\AppData\Local\Temp\612B.tmp
"C:\Users\Admin\AppData\Local\Temp\612B.tmp"
1⤵
PID:1584
- C:\Users\Admin\AppData\Local\Temp\6179.tmp
  "C:\Users\Admin\AppData\Local\Temp\6179.tmp"
  2⤵
  PID:3624
- - C:\Users\Admin\AppData\Local\Temp\61C7.tmp
    "C:\Users\Admin\AppData\Local\Temp\61C7.tmp"
    3⤵
    PID:3780
  - - C:\Users\Admin\AppData\Local\Temp\6215.tmp
      "C:\Users\Admin\AppData\Local\Temp\6215.tmp"
      4⤵
      PID:2868
- - C:\Users\Admin\AppData\Local\Temp\ADE3.tmp
    "C:\Users\Admin\AppData\Local\Temp\ADE3.tmp"
    3⤵
    PID:2500
  - - C:\Users\Admin\AppData\Local\Temp\AE22.tmp
      "C:\Users\Admin\AppData\Local\Temp\AE22.tmp"
      4⤵
      PID:4404
    - - C:\Users\Admin\AppData\Local\Temp\AE70.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\AE70.tmp"
        5⤵
        
        PID:4900
      - C:\Users\Admin\AppData\Local\Temp\AEBE.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\AEBE.tmp"
        6⤵
        
        PID:3288
        
        C:\Users\Admin\AppData\Local\Temp\AF0C.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\AF0C.tmp"
        7⤵
        
        PID:3320
        
        C:\Users\Admin\AppData\Local\Temp\AF5A.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\AF5A.tmp"
        8⤵
        Executes dropped EXE
        
        PID:4104
        
        C:\Users\Admin\AppData\Local\Temp\AFA9.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\AFA9.tmp"
        9⤵
        
        PID:1612
        
        C:\Users\Admin\AppData\Local\Temp\AFF7.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\AFF7.tmp"
        10⤵
        
        PID:928
        
        C:\Users\Admin\AppData\Local\Temp\B045.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\B045.tmp"
        11⤵
        Executes dropped EXE
        
        PID:3696
        
        C:\Users\Admin\AppData\Local\Temp\B093.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\B093.tmp"
        12⤵
        
        PID:1440
        
        C:\Users\Admin\AppData\Local\Temp\B0E1.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\B0E1.tmp"
        13⤵
        
        PID:4292
        
        C:\Users\Admin\AppData\Local\Temp\B12F.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\B12F.tmp"
        14⤵
        Executes dropped EXE
        
        PID:528
        
        C:\Users\Admin\AppData\Local\Temp\B17D.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\B17D.tmp"
        15⤵
        
        PID:1108
        
        C:\Users\Admin\AppData\Local\Temp\B1CB.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\B1CB.tmp"
        16⤵
        
        PID:5064
        
        C:\Users\Admin\AppData\Local\Temp\B21A.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\B21A.tmp"
        17⤵
        
        PID:464
        
        C:\Users\Admin\AppData\Local\Temp\B268.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\B268.tmp"
        18⤵
        
        PID:4884
        
        C:\Users\Admin\AppData\Local\Temp\B2B6.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\B2B6.tmp"
        19⤵
        
        PID:2096
        
        C:\Users\Admin\AppData\Local\Temp\B304.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\B304.tmp"
        20⤵
        
        PID:3264
        
        C:\Users\Admin\AppData\Local\Temp\B352.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\B352.tmp"
        21⤵
        
        PID:3092
        
        C:\Users\Admin\AppData\Local\Temp\B3A0.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\B3A0.tmp"
        22⤵
        
        PID:184
        
        C:\Users\Admin\AppData\Local\Temp\B3EE.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\B3EE.tmp"
        23⤵
        Executes dropped EXE
        
        PID:3632
        
        C:\Users\Admin\AppData\Local\Temp\B43C.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\B43C.tmp"
        24⤵
        
        PID:4368
        
        C:\Users\Admin\AppData\Local\Temp\B48B.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\B48B.tmp"
        25⤵
        Executes dropped EXE
        Suspicious use of WriteProcessMemory
        
        PID:2276
        
        C:\Users\Admin\AppData\Local\Temp\B4D9.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\B4D9.tmp"
        26⤵
        
        PID:924
        
        C:\Users\Admin\AppData\Local\Temp\B517.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\B517.tmp"
        27⤵
        
        PID:1128
        
        C:\Users\Admin\AppData\Local\Temp\B556.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\B556.tmp"
        28⤵
        
        PID:3984
        
        C:\Users\Admin\AppData\Local\Temp\B5A4.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\B5A4.tmp"
        29⤵
        
        PID:2108
        
        C:\Users\Admin\AppData\Local\Temp\B5F2.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\B5F2.tmp"
        30⤵
        
        PID:216
        
        C:\Users\Admin\AppData\Local\Temp\B640.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\B640.tmp"
        31⤵
        
        PID:3900
        
        C:\Users\Admin\AppData\Local\Temp\B68E.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\B68E.tmp"
        32⤵
        Executes dropped EXE
        Suspicious use of WriteProcessMemory
        
        PID:5072
        
        C:\Users\Admin\AppData\Local\Temp\B6DC.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\B6DC.tmp"
        33⤵
        
        PID:4360
        
        C:\Users\Admin\AppData\Local\Temp\B72A.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\B72A.tmp"
        34⤵
        
        PID:1460
        
        C:\Users\Admin\AppData\Local\Temp\B779.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\B779.tmp"
        35⤵
        
        PID:3796
        
        C:\Users\Admin\AppData\Local\Temp\B7B7.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\B7B7.tmp"
        36⤵
        
        PID:3992
        
        C:\Users\Admin\AppData\Local\Temp\B805.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\B805.tmp"
        37⤵
        
        PID:4536
        
        C:\Users\Admin\AppData\Local\Temp\B853.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\B853.tmp"
        38⤵
        
        PID:3500
        
        C:\Users\Admin\AppData\Local\Temp\B8A1.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\B8A1.tmp"
        39⤵
        
        PID:1420
        
        C:\Users\Admin\AppData\Local\Temp\B8F0.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\B8F0.tmp"
        40⤵
        Executes dropped EXE
        Suspicious use of WriteProcessMemory
        
        PID:4716
        
        C:\Users\Admin\AppData\Local\Temp\B92E.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\B92E.tmp"
        41⤵
        Executes dropped EXE
        
        PID:3964
        
        C:\Users\Admin\AppData\Local\Temp\B97C.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\B97C.tmp"
        42⤵
        
        PID:8
        
        C:\Users\Admin\AppData\Local\Temp\B9CA.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\B9CA.tmp"
        43⤵
        
        PID:2248
        
        C:\Users\Admin\AppData\Local\Temp\BA18.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\BA18.tmp"
        44⤵
        
        PID:1720
        
        C:\Users\Admin\AppData\Local\Temp\BA67.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\BA67.tmp"
        45⤵
        
        PID:620
        
        C:\Users\Admin\AppData\Local\Temp\BAB5.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\BAB5.tmp"
        46⤵
        
        PID:1412
        
        C:\Users\Admin\AppData\Local\Temp\BB03.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\BB03.tmp"
        47⤵
        
        PID:1628
        
        C:\Users\Admin\AppData\Local\Temp\BB61.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\BB61.tmp"
        48⤵
        
        PID:2788
        
        C:\Users\Admin\AppData\Local\Temp\BBAF.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\BBAF.tmp"
        49⤵
        
        PID:2916
        
        C:\Users\Admin\AppData\Local\Temp\DA81.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\DA81.tmp"
        32⤵
        
        PID:3004
        
        C:\Users\Admin\AppData\Local\Temp\DACF.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\DACF.tmp"
        33⤵
        
        PID:5072
        
        C:\Users\Admin\AppData\Local\Temp\DB1E.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\DB1E.tmp"
        34⤵
        
        PID:4824
        
        C:\Users\Admin\AppData\Local\Temp\DB7B.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\DB7B.tmp"
        35⤵
        
        PID:1212
        
        C:\Users\Admin\AppData\Local\Temp\DBD9.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\DBD9.tmp"
        36⤵
        
        PID:2200
        
        C:\Users\Admin\AppData\Local\Temp\DC37.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\DC37.tmp"
        37⤵
        
        PID:1484
        
        C:\Users\Admin\AppData\Local\Temp\DC85.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\DC85.tmp"
        38⤵
        
        PID:4264
        
        C:\Users\Admin\AppData\Local\Temp\DD02.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\DD02.tmp"
        39⤵
        
        PID:1076
        
        C:\Users\Admin\AppData\Local\Temp\DD6F.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\DD6F.tmp"
        40⤵
        
        PID:3908
        
        C:\Users\Admin\AppData\Local\Temp\DDCD.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\DDCD.tmp"
        41⤵
        
        PID:812
        
        C:\Users\Admin\AppData\Local\Temp\DE2B.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\DE2B.tmp"
        42⤵
        
        PID:2736
        
        C:\Users\Admin\AppData\Local\Temp\DE79.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\DE79.tmp"
        43⤵
        
        PID:4340
        
        C:\Users\Admin\AppData\Local\Temp\DEE6.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\DEE6.tmp"
        44⤵
        
        PID:3960
        
        C:\Users\Admin\AppData\Local\Temp\DF63.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\DF63.tmp"
        45⤵
        
        PID:4356
        
        C:\Users\Admin\AppData\Local\Temp\DFC1.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\DFC1.tmp"
        46⤵
        
        PID:2916
        
        C:\Users\Admin\AppData\Local\Temp\E02E.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\E02E.tmp"
        47⤵
        
        PID:4344
        
        C:\Users\Admin\AppData\Local\Temp\E07D.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\E07D.tmp"
        48⤵
        
        PID:4292
        
        C:\Users\Admin\AppData\Local\Temp\E0BB.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\E0BB.tmp"
        49⤵
        
        PID:3100
        
        C:\Users\Admin\AppData\Local\Temp\E128.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\E128.tmp"
        50⤵
        
        PID:724
        
        C:\Users\Admin\AppData\Local\Temp\E167.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\E167.tmp"
        51⤵
        
        PID:3068
        
        C:\Users\Admin\AppData\Local\Temp\E1C5.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\E1C5.tmp"
        52⤵
        
        PID:4364
        
        C:\Users\Admin\AppData\Local\Temp\E213.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\E213.tmp"
        53⤵
        
        PID:2300
        
        C:\Users\Admin\AppData\Local\Temp\E261.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\E261.tmp"
        54⤵
        
        PID:840
        
        C:\Users\Admin\AppData\Local\Temp\E2FD.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\E2FD.tmp"
        55⤵
        
        PID:4332
        
        C:\Users\Admin\AppData\Local\Temp\E36B.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\E36B.tmp"
        56⤵
        
        PID:752
        
        C:\Users\Admin\AppData\Local\Temp\E3B9.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\E3B9.tmp"
        57⤵
        
        PID:4072
        
        C:\Users\Admin\AppData\Local\Temp\E416.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\E416.tmp"
        58⤵
        
        PID:4064
        
        C:\Users\Admin\AppData\Local\Temp\E465.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\E465.tmp"
        59⤵
        
        PID:220
        
        C:\Users\Admin\AppData\Local\Temp\E4B3.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\E4B3.tmp"
        60⤵
        
        PID:684
        
        C:\Users\Admin\AppData\Local\Temp\E501.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\E501.tmp"
        61⤵
        
        PID:5088
        
        C:\Users\Admin\AppData\Local\Temp\E55F.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\E55F.tmp"
        62⤵
        
        PID:4088
        
        C:\Users\Admin\AppData\Local\Temp\E5AD.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\E5AD.tmp"
        63⤵
        
        PID:4496
        
        C:\Users\Admin\AppData\Local\Temp\E5EB.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\E5EB.tmp"
        64⤵
        
        PID:4196
        
        C:\Users\Admin\AppData\Local\Temp\E62A.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\E62A.tmp"
        65⤵
        
        PID:2580
        
        C:\Users\Admin\AppData\Local\Temp\E687.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\E687.tmp"
        66⤵
        
        PID:3984
        
        C:\Users\Admin\AppData\Local\Temp\E6F5.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\E6F5.tmp"
        67⤵
        
        PID:2616
        
        C:\Users\Admin\AppData\Local\Temp\E743.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\E743.tmp"
        68⤵
        
        PID:2860
        
        C:\Users\Admin\AppData\Local\Temp\E781.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\E781.tmp"
        69⤵
        
        PID:2688
        
        C:\Users\Admin\AppData\Local\Temp\E7D0.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\E7D0.tmp"
        70⤵
        
        PID:2588
        
        C:\Users\Admin\AppData\Local\Temp\E81E.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\E81E.tmp"
        71⤵
        
        PID:4136
        
        C:\Users\Admin\AppData\Local\Temp\E86C.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\E86C.tmp"
        72⤵
        
        PID:1476
        
        C:\Users\Admin\AppData\Local\Temp\E8BA.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\E8BA.tmp"
        73⤵
        
        PID:4604
        
        C:\Users\Admin\AppData\Local\Temp\FD8A.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\FD8A.tmp"
        19⤵
        
        PID:1552
        
        C:\Users\Admin\AppData\Local\Temp\FDD8.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\FDD8.tmp"
        20⤵
        
        PID:4564
        
        C:\Users\Admin\AppData\Local\Temp\FE26.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\FE26.tmp"
        21⤵
        
        PID:5016
        
        C:\Users\Admin\AppData\Local\Temp\FE74.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\FE74.tmp"
        22⤵
        
        PID:4912
        
        C:\Users\Admin\AppData\Local\Temp\FEC3.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\FEC3.tmp"
        23⤵
        
        PID:5044
        
        C:\Users\Admin\AppData\Local\Temp\FF11.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\FF11.tmp"
        24⤵
        
        PID:3632
        
        C:\Users\Admin\AppData\Local\Temp\FF5F.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\FF5F.tmp"
        25⤵
        
        PID:4512
        
        C:\Users\Admin\AppData\Local\Temp\FFAD.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\FFAD.tmp"
        26⤵
        
        PID:816
        
        C:\Users\Admin\AppData\Local\Temp\FFFB.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\FFFB.tmp"
        27⤵
        
        PID:4496
        
        C:\Users\Admin\AppData\Local\Temp\49.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\49.tmp"
        28⤵
        
        PID:216
        
        C:\Users\Admin\AppData\Local\Temp\97.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\97.tmp"
        29⤵
        
        PID:2616
        
        C:\Users\Admin\AppData\Local\Temp\E5.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\E5.tmp"
        30⤵
        
        PID:2860
        
        C:\Users\Admin\AppData\Local\Temp\134.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\134.tmp"
        31⤵
        
        PID:3900
        
        C:\Users\Admin\AppData\Local\Temp\182.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\182.tmp"
        32⤵
        
        PID:2588
        
        C:\Users\Admin\AppData\Local\Temp\1D0.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\1D0.tmp"
        33⤵
        
        PID:4136
        
        C:\Users\Admin\AppData\Local\Temp\21E.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\21E.tmp"
        34⤵
        
        PID:1476
        
        C:\Users\Admin\AppData\Local\Temp\26C.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\26C.tmp"
        35⤵
        
        PID:316
        
        C:\Users\Admin\AppData\Local\Temp\2BA.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\2BA.tmp"
        36⤵
        
        PID:1220
        
        C:\Users\Admin\AppData\Local\Temp\308.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\308.tmp"
        37⤵
        
        PID:3952
        
        C:\Users\Admin\AppData\Local\Temp\356.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\356.tmp"
        38⤵
        
        PID:2700
        
        C:\Users\Admin\AppData\Local\Temp\3A5.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\3A5.tmp"
        39⤵
        
        PID:2500
        
        C:\Users\Admin\AppData\Local\Temp\3F3.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\3F3.tmp"
        40⤵
        
        PID:820
        
        C:\Users\Admin\AppData\Local\Temp\441.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\441.tmp"
        41⤵
        
        PID:5032
        
        C:\Users\Admin\AppData\Local\Temp\48F.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\48F.tmp"
        42⤵
        
        PID:4876
        
        C:\Users\Admin\AppData\Local\Temp\4DD.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\4DD.tmp"
        43⤵
        
        PID:1720
        
        C:\Users\Admin\AppData\Local\Temp\52B.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\52B.tmp"
        44⤵
        
        PID:3908
        
        C:\Users\Admin\AppData\Local\Temp\579.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\579.tmp"
        45⤵
        
        PID:812
        
        C:\Users\Admin\AppData\Local\Temp\5C7.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\5C7.tmp"
        46⤵
        
        PID:4104
        
        C:\Users\Admin\AppData\Local\Temp\606.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\606.tmp"
        47⤵
        
        PID:3320
        
        C:\Users\Admin\AppData\Local\Temp\654.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\654.tmp"
        48⤵
        
        PID:4212
        
        C:\Users\Admin\AppData\Local\Temp\6A2.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\6A2.tmp"
        49⤵
        
        PID:5040
        
        C:\Users\Admin\AppData\Local\Temp\6F0.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\6F0.tmp"
        50⤵
        
        PID:3616
        
        C:\Users\Admin\AppData\Local\Temp\72F.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\72F.tmp"
        51⤵
        
        PID:4904
        
        C:\Users\Admin\AppData\Local\Temp\77D.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\77D.tmp"
        52⤵
        
        PID:4404
        
        C:\Users\Admin\AppData\Local\Temp\7CB.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\7CB.tmp"
        53⤵
        
        PID:4324
        
        C:\Users\Admin\AppData\Local\Temp\819.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\819.tmp"
        54⤵
        
        PID:1820
        
        C:\Users\Admin\AppData\Local\Temp\867.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\867.tmp"
        55⤵
        
        PID:364
        
        C:\Users\Admin\AppData\Local\Temp\8B5.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\8B5.tmp"
        56⤵
        
        PID:2324
        
        C:\Users\Admin\AppData\Local\Temp\904.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\904.tmp"
        57⤵
        
        PID:4040
        
        C:\Users\Admin\AppData\Local\Temp\952.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\952.tmp"
        58⤵
        
        PID:3376
        
        C:\Users\Admin\AppData\Local\Temp\990.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\990.tmp"
        59⤵
        
        PID:4116
        
        C:\Users\Admin\AppData\Local\Temp\9DE.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\9DE.tmp"
        60⤵
        
        PID:752
        
        C:\Users\Admin\AppData\Local\Temp\A2C.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\A2C.tmp"
        61⤵
        
        PID:1940
        
        C:\Users\Admin\AppData\Local\Temp\A7B.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\A7B.tmp"
        62⤵
        
        PID:1012
        
        C:\Users\Admin\AppData\Local\Temp\AB9.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\AB9.tmp"
        63⤵
        
        PID:2040
        
        C:\Users\Admin\AppData\Local\Temp\B07.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\B07.tmp"
        64⤵
        
        PID:3352
        
        C:\Users\Admin\AppData\Local\Temp\B55.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\B55.tmp"
        65⤵
        
        PID:4088
        
        C:\Users\Admin\AppData\Local\Temp\BA3.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\BA3.tmp"
        66⤵
        
        PID:3836
        
        C:\Users\Admin\AppData\Local\Temp\BF2.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\BF2.tmp"
        67⤵
        
        PID:1128
        
        C:\Users\Admin\AppData\Local\Temp\C40.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\C40.tmp"
        68⤵
        
        PID:3984
        
        C:\Users\Admin\AppData\Local\Temp\C8E.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\C8E.tmp"
        69⤵
        
        PID:3792
        
        C:\Users\Admin\AppData\Local\Temp\CDC.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\CDC.tmp"
        70⤵
        
        PID:1360
        
        C:\Users\Admin\AppData\Local\Temp\D2A.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\D2A.tmp"
        71⤵
        
        PID:1992
        
        C:\Users\Admin\AppData\Local\Temp\D97.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\D97.tmp"
        72⤵
        
        PID:3044
        
        C:\Users\Admin\AppData\Local\Temp\E34.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\E34.tmp"
        73⤵
        
        PID:2688
        
        C:\Users\Admin\AppData\Local\Temp\EA1.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\EA1.tmp"
        74⤵
        
        PID:3432
        
        C:\Users\Admin\AppData\Local\Temp\F4D.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\F4D.tmp"
        75⤵
        
        PID:3628
        
        C:\Users\Admin\AppData\Local\Temp\FDA.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\FDA.tmp"
        76⤵
        
        PID:4980
        
        C:\Users\Admin\AppData\Local\Temp\1047.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\1047.tmp"
        77⤵
        
        PID:1212
        
        C:\Users\Admin\AppData\Local\Temp\10C4.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\10C4.tmp"
        78⤵
        
        PID:4608
        
        C:\Users\Admin\AppData\Local\Temp\1131.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\1131.tmp"
        79⤵
        
        PID:2248
        
        C:\Users\Admin\AppData\Local\Temp\11AE.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\11AE.tmp"
        80⤵
        
        PID:2700
        
        C:\Users\Admin\AppData\Local\Temp\120C.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\120C.tmp"
        81⤵
        
        PID:4432
        
        C:\Users\Admin\AppData\Local\Temp\1279.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\1279.tmp"
        82⤵
        
        PID:620
        
        C:\Users\Admin\AppData\Local\Temp\12C8.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\12C8.tmp"
        83⤵
        
        PID:2524
        
        C:\Users\Admin\AppData\Local\Temp\1325.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\1325.tmp"
        84⤵
        
        PID:5068
        
        C:\Users\Admin\AppData\Local\Temp\1383.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\1383.tmp"
        85⤵
        
        PID:3820
        
        C:\Users\Admin\AppData\Local\Temp\13D1.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\13D1.tmp"
        86⤵
        
        PID:4812
        
        C:\Users\Admin\AppData\Local\Temp\141F.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\141F.tmp"
        87⤵
        
        PID:848
        
        C:\Users\Admin\AppData\Local\Temp\149C.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\149C.tmp"
        88⤵
        
        PID:2328
        
        C:\Users\Admin\AppData\Local\Temp\14EA.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\14EA.tmp"
        89⤵
        
        PID:2916
        
        C:\Users\Admin\AppData\Local\Temp\1539.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\1539.tmp"
        90⤵
        
        PID:1124
        
        C:\Users\Admin\AppData\Local\Temp\1587.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\1587.tmp"
        91⤵
        
        PID:3164
        
        C:\Users\Admin\AppData\Local\Temp\15D5.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\15D5.tmp"
        92⤵
        
        PID:4232
        
        C:\Users\Admin\AppData\Local\Temp\1623.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\1623.tmp"
        93⤵
        
        PID:724
        
        C:\Users\Admin\AppData\Local\Temp\1671.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\1671.tmp"
        94⤵
        
        PID:4584
        
        C:\Users\Admin\AppData\Local\Temp\16BF.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\16BF.tmp"
        95⤵
        
        PID:2172
        
        C:\Users\Admin\AppData\Local\Temp\170D.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\170D.tmp"
        96⤵
        
        PID:464
        
        C:\Users\Admin\AppData\Local\Temp\175B.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\175B.tmp"
        97⤵
        
        PID:4552
        
        C:\Users\Admin\AppData\Local\Temp\17AA.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\17AA.tmp"
        98⤵
        
        PID:1444
        
        C:\Users\Admin\AppData\Local\Temp\17F8.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\17F8.tmp"
        99⤵
        
        PID:1552
        
        C:\Users\Admin\AppData\Local\Temp\1846.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\1846.tmp"
        100⤵
        
        PID:3800
        
        C:\Users\Admin\AppData\Local\Temp\1894.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\1894.tmp"
        101⤵
        
        PID:4064
        
        C:\Users\Admin\AppData\Local\Temp\18D2.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\18D2.tmp"
        102⤵
        
        PID:4644
        
        C:\Users\Admin\AppData\Local\Temp\1911.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\1911.tmp"
        103⤵
        
        PID:4656
        
        C:\Users\Admin\AppData\Local\Temp\195F.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\195F.tmp"
        104⤵
        
        PID:2256
        
        C:\Users\Admin\AppData\Local\Temp\199E.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\199E.tmp"
        105⤵
        
        PID:4196
        
        C:\Users\Admin\AppData\Local\Temp\19DC.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\19DC.tmp"
        106⤵
        
        PID:4088
        
        C:\Users\Admin\AppData\Local\Temp\1A2A.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\1A2A.tmp"
        107⤵
        
        PID:4932
        
        C:\Users\Admin\AppData\Local\Temp\1A78.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\1A78.tmp"
        108⤵
        
        PID:4388
        
        C:\Users\Admin\AppData\Local\Temp\1AC6.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\1AC6.tmp"
        109⤵
        
        PID:2580
        
        C:\Users\Admin\AppData\Local\Temp\1B15.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\1B15.tmp"
        110⤵
        
        PID:4780
        
        C:\Users\Admin\AppData\Local\Temp\1B63.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\1B63.tmp"
        111⤵
        
        PID:2108
        
        C:\Users\Admin\AppData\Local\Temp\1BB1.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\1BB1.tmp"
        112⤵
        
        PID:3900
        
        C:\Users\Admin\AppData\Local\Temp\1BEF.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\1BEF.tmp"
        113⤵
        
        PID:628
        
        C:\Users\Admin\AppData\Local\Temp\1C6C.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\1C6C.tmp"
        114⤵
        
        PID:3272
        
        C:\Users\Admin\AppData\Local\Temp\1CBA.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\1CBA.tmp"
        115⤵
        
        PID:1220
        
        C:\Users\Admin\AppData\Local\Temp\1D09.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\1D09.tmp"
        116⤵
        
        PID:3500
        
        C:\Users\Admin\AppData\Local\Temp\1D57.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\1D57.tmp"
        117⤵
        
        PID:2532
        
        C:\Users\Admin\AppData\Local\Temp\1DA5.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\1DA5.tmp"
        118⤵
        
        PID:4720
        
        C:\Users\Admin\AppData\Local\Temp\1DF3.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\1DF3.tmp"
        119⤵
        
        PID:2588
        
        C:\Users\Admin\AppData\Local\Temp\1E41.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\1E41.tmp"
        120⤵
        
        PID:4432
        
        C:\Users\Admin\AppData\Local\Temp\1E8F.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\1E8F.tmp"
        121⤵
        
        PID:620
        
        C:\Users\Admin\AppData\Local\Temp\1ECE.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\1ECE.tmp"
        122⤵
        
        PID:2524
        
        C:\Users\Admin\AppData\Local\Temp\1F1C.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\1F1C.tmp"
        123⤵
        
        PID:5068
        
        C:\Users\Admin\AppData\Local\Temp\1F6A.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\1F6A.tmp"
        124⤵
        
        PID:3820
        
        C:\Users\Admin\AppData\Local\Temp\1FB8.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\1FB8.tmp"
        125⤵
        
        PID:4812
        
        C:\Users\Admin\AppData\Local\Temp\2006.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\2006.tmp"
        126⤵
        
        PID:848
        
        C:\Users\Admin\AppData\Local\Temp\2054.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\2054.tmp"
        127⤵
        
        PID:2328
        
        C:\Users\Admin\AppData\Local\Temp\20A2.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\20A2.tmp"
        128⤵
        
        PID:2916
        
        C:\Users\Admin\AppData\Local\Temp\20F1.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\20F1.tmp"
        129⤵
        
        PID:1124
        
        C:\Users\Admin\AppData\Local\Temp\213F.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\213F.tmp"
        130⤵
        
        PID:3164
        
        C:\Users\Admin\AppData\Local\Temp\218D.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\218D.tmp"
        131⤵
        
        PID:4232
        
        C:\Users\Admin\AppData\Local\Temp\21DB.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\21DB.tmp"
        132⤵
        
        PID:2300
        
        C:\Users\Admin\AppData\Local\Temp\2229.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\2229.tmp"
        133⤵
        
        PID:4584
        
        C:\Users\Admin\AppData\Local\Temp\2277.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\2277.tmp"
        134⤵
        
        PID:2172
        
        C:\Users\Admin\AppData\Local\Temp\22C5.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\22C5.tmp"
        135⤵
        
        PID:464
        
        C:\Users\Admin\AppData\Local\Temp\2313.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\2313.tmp"
        136⤵
        
        PID:4552
        
        C:\Users\Admin\AppData\Local\Temp\2362.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\2362.tmp"
        137⤵
        
        PID:1444
        
        C:\Users\Admin\AppData\Local\Temp\23B0.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\23B0.tmp"
        138⤵
        
        PID:684
        
        C:\Users\Admin\AppData\Local\Temp\23FE.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\23FE.tmp"
        139⤵
        
        PID:4580
        
        C:\Users\Admin\AppData\Local\Temp\244C.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\244C.tmp"
        140⤵
        
        PID:4064
        
        C:\Users\Admin\AppData\Local\Temp\249A.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\249A.tmp"
        141⤵
        
        PID:2040
        
        C:\Users\Admin\AppData\Local\Temp\24E8.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\24E8.tmp"
        142⤵
        
        PID:4656
        
        C:\Users\Admin\AppData\Local\Temp\2536.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\2536.tmp"
        143⤵
        
        PID:2256
        
        C:\Users\Admin\AppData\Local\Temp\2594.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\2594.tmp"
        144⤵
        
        PID:4372
        
        C:\Users\Admin\AppData\Local\Temp\25E2.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\25E2.tmp"
        145⤵
        
        PID:4496
        
        C:\Users\Admin\AppData\Local\Temp\2621.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\2621.tmp"
        28⤵
        
        PID:2096
        
        C:\Users\Admin\AppData\Local\Temp\266F.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\266F.tmp"
        29⤵
        
        PID:2616
        
        C:\Users\Admin\AppData\Local\Temp\26BD.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\26BD.tmp"
        30⤵
        
        PID:1360
        
        C:\Users\Admin\AppData\Local\Temp\270B.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\270B.tmp"
        31⤵
        
        PID:1992
        
        C:\Users\Admin\AppData\Local\Temp\2759.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\2759.tmp"
        32⤵
        
        PID:4420
        
        C:\Users\Admin\AppData\Local\Temp\27A7.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\27A7.tmp"
        33⤵
        
        PID:3900
        
        C:\Users\Admin\AppData\Local\Temp\27F5.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\27F5.tmp"
        34⤵
        
        PID:628
        
        C:\Users\Admin\AppData\Local\Temp\2844.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\2844.tmp"
        35⤵
        
        PID:3952
        
        C:\Users\Admin\AppData\Local\Temp\2892.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\2892.tmp"
        36⤵
        
        PID:2276
        
        C:\Users\Admin\AppData\Local\Temp\28E0.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\28E0.tmp"
        37⤵
        
        PID:2556
        
        C:\Users\Admin\AppData\Local\Temp\291E.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\291E.tmp"
        38⤵
        
        PID:2532
        
        C:\Users\Admin\AppData\Local\Temp\296C.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\296C.tmp"
        39⤵
        
        PID:4720
        
        C:\Users\Admin\AppData\Local\Temp\29BB.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\29BB.tmp"
        40⤵
        
        PID:2588
        
        C:\Users\Admin\AppData\Local\Temp\2A09.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\2A09.tmp"
        41⤵
        
        PID:4432
        
        C:\Users\Admin\AppData\Local\Temp\2A57.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\2A57.tmp"
        42⤵
        
        PID:620
        
        C:\Users\Admin\AppData\Local\Temp\2AA5.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\2AA5.tmp"
        43⤵
        
        PID:2524
        
        C:\Users\Admin\AppData\Local\Temp\2AF3.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\2AF3.tmp"
        44⤵
        
        PID:5068
        
        C:\Users\Admin\AppData\Local\Temp\2B41.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\2B41.tmp"
        45⤵
        
        PID:3820
        
        C:\Users\Admin\AppData\Local\Temp\2B8F.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\2B8F.tmp"
        46⤵
        
        PID:4812
        
        C:\Users\Admin\AppData\Local\Temp\2BDD.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\2BDD.tmp"
        47⤵
        
        PID:5040
        
        C:\Users\Admin\AppData\Local\Temp\2C1C.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\2C1C.tmp"
        48⤵
        
        PID:2328
        
        C:\Users\Admin\AppData\Local\Temp\2C6A.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\2C6A.tmp"
        49⤵
        
        PID:528
        
        C:\Users\Admin\AppData\Local\Temp\2CB8.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\2CB8.tmp"
        50⤵
        
        PID:4728
        
        C:\Users\Admin\AppData\Local\Temp\2D06.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\2D06.tmp"
        51⤵
        
        PID:2196
        
        C:\Users\Admin\AppData\Local\Temp\2D54.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\2D54.tmp"
        52⤵
        
        PID:2780
        
        C:\Users\Admin\AppData\Local\Temp\2DA3.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\2DA3.tmp"
        53⤵
        
        PID:3092
        
        C:\Users\Admin\AppData\Local\Temp\2DF1.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\2DF1.tmp"
        54⤵
        
        PID:2876
        
        C:\Users\Admin\AppData\Local\Temp\2E3F.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\2E3F.tmp"
        55⤵
        
        PID:3800
        
        C:\Users\Admin\AppData\Local\Temp\2E9D.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\2E9D.tmp"
        56⤵
        
        PID:2412
        
        C:\Users\Admin\AppData\Local\Temp\2EEB.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\2EEB.tmp"
        57⤵
        
        PID:1012
        
        C:\Users\Admin\AppData\Local\Temp\2F39.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\2F39.tmp"
        58⤵
        
        PID:2708
        
        C:\Users\Admin\AppData\Local\Temp\2F87.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\2F87.tmp"
        59⤵
        
        PID:2560
        
        C:\Users\Admin\AppData\Local\Temp\2FD5.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\2FD5.tmp"
        60⤵
        
        PID:4512
        
        C:\Users\Admin\AppData\Local\Temp\3023.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\3023.tmp"
        61⤵
        
        PID:4840
        
        C:\Users\Admin\AppData\Local\Temp\3071.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\3071.tmp"
        62⤵
        
        PID:216
        
        C:\Users\Admin\AppData\Local\Temp\30BF.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\30BF.tmp"
        63⤵
        
        PID:4820
        
        C:\Users\Admin\AppData\Local\Temp\310E.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\310E.tmp"
        64⤵
        
        PID:4944
        
        C:\Users\Admin\AppData\Local\Temp\315C.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\315C.tmp"
        65⤵
        
        PID:4384
        
        C:\Users\Admin\AppData\Local\Temp\31AA.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\31AA.tmp"
        66⤵
        
        PID:4360
        
        C:\Users\Admin\AppData\Local\Temp\31F8.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\31F8.tmp"
        67⤵
        
        PID:4420
        
        C:\Users\Admin\AppData\Local\Temp\3246.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\3246.tmp"
        68⤵
        
        PID:1944
        
        C:\Users\Admin\AppData\Local\Temp\3294.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\3294.tmp"
        69⤵
        
        PID:316
        
        C:\Users\Admin\AppData\Local\Temp\32E2.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\32E2.tmp"
        70⤵
        
        PID:756
        
        C:\Users\Admin\AppData\Local\Temp\3330.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\3330.tmp"
        71⤵
        
        PID:384
        
        C:\Users\Admin\AppData\Local\Temp\337F.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\337F.tmp"
        72⤵
        
        PID:4172
        
        C:\Users\Admin\AppData\Local\Temp\33CD.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\33CD.tmp"
        73⤵
        
        PID:1076
        
        C:\Users\Admin\AppData\Local\Temp\341B.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\341B.tmp"
        74⤵
        
        PID:3096
        
        C:\Users\Admin\AppData\Local\Temp\3469.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\3469.tmp"
        75⤵
        
        PID:4084
        
        C:\Users\Admin\AppData\Local\Temp\34B7.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\34B7.tmp"
        76⤵
        
        PID:1040
        
        C:\Users\Admin\AppData\Local\Temp\3505.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\3505.tmp"
        77⤵
        
        PID:4204
        
        C:\Users\Admin\AppData\Local\Temp\3553.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\3553.tmp"
        78⤵
        
        PID:2592
        
        C:\Users\Admin\AppData\Local\Temp\35A1.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\35A1.tmp"
        79⤵
        
        PID:5068
        
        C:\Users\Admin\AppData\Local\Temp\35F0.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\35F0.tmp"
        80⤵
        
        PID:3820
        
        C:\Users\Admin\AppData\Local\Temp\363E.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\363E.tmp"
        81⤵
        
        PID:4812
        
        C:\Users\Admin\AppData\Local\Temp\368C.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\368C.tmp"
        82⤵
        
        PID:4292
        
        C:\Users\Admin\AppData\Local\Temp\36DA.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\36DA.tmp"
        83⤵
        
        PID:4444
        
        C:\Users\Admin\AppData\Local\Temp\3728.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\3728.tmp"
        84⤵
        
        PID:724
        
        C:\Users\Admin\AppData\Local\Temp\3776.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\3776.tmp"
        85⤵
        
        PID:3172
        
        C:\Users\Admin\AppData\Local\Temp\37C4.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\37C4.tmp"
        86⤵
        
        PID:2196
        
        C:\Users\Admin\AppData\Local\Temp\3812.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\3812.tmp"
        87⤵
        
        PID:2780
        
        C:\Users\Admin\AppData\Local\Temp\3861.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\3861.tmp"
        88⤵
        
        PID:2188
        
        C:\Users\Admin\AppData\Local\Temp\38AF.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\38AF.tmp"
        89⤵
        
        PID:3956
        
        C:\Users\Admin\AppData\Local\Temp\38FD.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\38FD.tmp"
        90⤵
        
        PID:4564
        
        C:\Users\Admin\AppData\Local\Temp\394B.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\394B.tmp"
        91⤵
        
        PID:3444
        
        C:\Users\Admin\AppData\Local\Temp\3999.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\3999.tmp"
        92⤵
        
        PID:4188
        
        C:\Users\Admin\AppData\Local\Temp\39E7.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\39E7.tmp"
        93⤵
        
        PID:3100
        
        C:\Users\Admin\AppData\Local\Temp\3A35.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\3A35.tmp"
        94⤵
        
        PID:4644
        
        C:\Users\Admin\AppData\Local\Temp\3A83.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\3A83.tmp"
        95⤵
        
        PID:5048
        
        C:\Users\Admin\AppData\Local\Temp\3AD2.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\3AD2.tmp"
        96⤵
        
        PID:3924
        
        C:\Users\Admin\AppData\Local\Temp\3B20.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\3B20.tmp"
        97⤵
        
        PID:4056
        
        C:\Users\Admin\AppData\Local\Temp\3B6E.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\3B6E.tmp"
        98⤵
        
        PID:4932
        
        C:\Users\Admin\AppData\Local\Temp\3BBC.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\3BBC.tmp"
        99⤵
        
        PID:4532
        
        C:\Users\Admin\AppData\Local\Temp\3C0A.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\3C0A.tmp"
        100⤵
        
        PID:4944
        
        C:\Users\Admin\AppData\Local\Temp\3C58.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\3C58.tmp"
        101⤵
        
        PID:2108
        
        C:\Users\Admin\AppData\Local\Temp\3C97.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\3C97.tmp"
        102⤵
        
        PID:212
        
        C:\Users\Admin\AppData\Local\Temp\3CE5.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\3CE5.tmp"
        103⤵
        
        PID:3272
        
        C:\Users\Admin\AppData\Local\Temp\3D33.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\3D33.tmp"
        104⤵
        
        PID:1212
        
        C:\Users\Admin\AppData\Local\Temp\3D81.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\3D81.tmp"
        105⤵
        
        PID:2740
        
        C:\Users\Admin\AppData\Local\Temp\3DCF.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\3DCF.tmp"
        106⤵
        
        PID:2700
        
        C:\Users\Admin\AppData\Local\Temp\3E1D.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\3E1D.tmp"
        107⤵
        
        PID:408
        
        C:\Users\Admin\AppData\Local\Temp\3E5C.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\3E5C.tmp"
        108⤵
        
        PID:1076
        
        C:\Users\Admin\AppData\Local\Temp\3EAA.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\3EAA.tmp"
        109⤵
        
        PID:4876
        
        C:\Users\Admin\AppData\Local\Temp\3EF8.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\3EF8.tmp"
        110⤵
        
        PID:1676
        
        C:\Users\Admin\AppData\Local\Temp\3F46.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\3F46.tmp"
        111⤵
        
        PID:812
        
        C:\Users\Admin\AppData\Local\Temp\3F94.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\3F94.tmp"
        112⤵
        
        PID:2524
        
        C:\Users\Admin\AppData\Local\Temp\3FE2.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\3FE2.tmp"
        113⤵
        
        PID:1628
        
        C:\Users\Admin\AppData\Local\Temp\4031.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\4031.tmp"
        114⤵
        
        PID:3616
        
        C:\Users\Admin\AppData\Local\Temp\406F.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\406F.tmp"
        115⤵
        
        PID:1820
        
        C:\Users\Admin\AppData\Local\Temp\40AE.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\40AE.tmp"
        116⤵
        
        PID:3164
        
        C:\Users\Admin\AppData\Local\Temp\40FC.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\40FC.tmp"
        117⤵
        
        PID:1412
        
        C:\Users\Admin\AppData\Local\Temp\414A.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\414A.tmp"
        118⤵
        
        PID:364
        
        C:\Users\Admin\AppData\Local\Temp\4198.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\4198.tmp"
        119⤵
        
        PID:2324
        
        C:\Users\Admin\AppData\Local\Temp\41E6.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\41E6.tmp"
        120⤵
        
        PID:4332
        
        C:\Users\Admin\AppData\Local\Temp\4234.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\4234.tmp"
        121⤵
        
        PID:1112
        
        C:\Users\Admin\AppData\Local\Temp\4282.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\4282.tmp"
        122⤵
        
        PID:684
        
        C:\Users\Admin\AppData\Local\Temp\42D0.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\42D0.tmp"
        123⤵
        
        PID:220
        
        C:\Users\Admin\AppData\Local\Temp\431F.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\431F.tmp"
        124⤵
        
        PID:3444
        
        C:\Users\Admin\AppData\Local\Temp\436D.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\436D.tmp"
        125⤵
        
        PID:4188
        
        C:\Users\Admin\AppData\Local\Temp\43BB.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\43BB.tmp"
        126⤵
        
        PID:3100
        
        C:\Users\Admin\AppData\Local\Temp\4409.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\4409.tmp"
        127⤵
        
        PID:4284
        
        C:\Users\Admin\AppData\Local\Temp\4457.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\4457.tmp"
        128⤵
        
        PID:2840
        
        C:\Users\Admin\AppData\Local\Temp\44A5.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\44A5.tmp"
        129⤵
        
        PID:3924
        
        C:\Users\Admin\AppData\Local\Temp\44F3.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\44F3.tmp"
        130⤵
        
        PID:4388
        
        C:\Users\Admin\AppData\Local\Temp\4551.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\4551.tmp"
        131⤵
        
        PID:4512
        
        C:\Users\Admin\AppData\Local\Temp\45AF.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\45AF.tmp"
        132⤵
        
        PID:4932
        
        C:\Users\Admin\AppData\Local\Temp\45FD.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\45FD.tmp"
        133⤵
        
        PID:1360
        
        C:\Users\Admin\AppData\Local\Temp\464B.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\464B.tmp"
        134⤵
        
        PID:1460
        
        C:\Users\Admin\AppData\Local\Temp\4699.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\4699.tmp"
        135⤵
        
        PID:4360
        
        C:\Users\Admin\AppData\Local\Temp\46F7.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\46F7.tmp"
        136⤵
        
        PID:4824
        
        C:\Users\Admin\AppData\Local\Temp\4745.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\4745.tmp"
        137⤵
        
        PID:1944
        
        C:\Users\Admin\AppData\Local\Temp\4793.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\4793.tmp"
        138⤵
        
        PID:820
        
        C:\Users\Admin\AppData\Local\Temp\47E1.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\47E1.tmp"
        139⤵
        
        PID:1484
        
        C:\Users\Admin\AppData\Local\Temp\482F.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\482F.tmp"
        140⤵
        
        PID:2548
        
        C:\Users\Admin\AppData\Local\Temp\487E.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\487E.tmp"
        141⤵
        
        PID:2320
        
        C:\Users\Admin\AppData\Local\Temp\48CC.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\48CC.tmp"
        142⤵
        
        PID:4436
        
        C:\Users\Admin\AppData\Local\Temp\491A.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\491A.tmp"
        143⤵
        
        PID:3096
        
        C:\Users\Admin\AppData\Local\Temp\4968.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\4968.tmp"
        144⤵
        
        PID:4836
        
        C:\Users\Admin\AppData\Local\Temp\49B6.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\49B6.tmp"
        145⤵
        
        PID:4204
        
        C:\Users\Admin\AppData\Local\Temp\4A04.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\4A04.tmp"
        146⤵
        
        PID:1364
        
        C:\Users\Admin\AppData\Local\Temp\4A52.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\4A52.tmp"
        147⤵
        
        PID:848
        
        C:\Users\Admin\AppData\Local\Temp\4AA0.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\4AA0.tmp"
        148⤵
        
        PID:2680
        
        C:\Users\Admin\AppData\Local\Temp\4AEF.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\4AEF.tmp"
        149⤵
        
        PID:3008
        
        C:\Users\Admin\AppData\Local\Temp\4B3D.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\4B3D.tmp"
        150⤵
        
        PID:2236
        
        C:\Users\Admin\AppData\Local\Temp\4B8B.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\4B8B.tmp"
        151⤵
        
        PID:4728
        
        C:\Users\Admin\AppData\Local\Temp\4BD9.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\4BD9.tmp"
        152⤵
        
        PID:4072
        
        C:\Users\Admin\AppData\Local\Temp\4C27.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\4C27.tmp"
        153⤵
        
        PID:2196
        
        C:\Users\Admin\AppData\Local\Temp\4C75.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\4C75.tmp"
        154⤵
        
        PID:3092
        
        C:\Users\Admin\AppData\Local\Temp\4CC3.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\4CC3.tmp"
        155⤵
        
        PID:1372
        
        C:\Users\Admin\AppData\Local\Temp\4D11.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\4D11.tmp"
        156⤵
        
        PID:4332
        
        C:\Users\Admin\AppData\Local\Temp\4D60.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\4D60.tmp"
        157⤵
        
        PID:840
        
        C:\Users\Admin\AppData\Local\Temp\4DAE.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\4DAE.tmp"
        158⤵
        
        PID:184
        
        C:\Users\Admin\AppData\Local\Temp\55CC.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\55CC.tmp"
        154⤵
        
        PID:2372
        
        C:\Users\Admin\AppData\Local\Temp\561A.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\561A.tmp"
        155⤵
        
        PID:4340
        
        C:\Users\Admin\AppData\Local\Temp\5668.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\5668.tmp"
        156⤵
        
        PID:4580
        
        C:\Users\Admin\AppData\Local\Temp\56B6.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\56B6.tmp"
        157⤵
        
        PID:1940
        
        C:\Users\Admin\AppData\Local\Temp\5704.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\5704.tmp"
        158⤵
        
        PID:3292
        
        C:\Users\Admin\AppData\Local\Temp\5752.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\5752.tmp"
        159⤵
        
        PID:4912
        
        C:\Users\Admin\AppData\Local\Temp\57A1.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\57A1.tmp"
        160⤵
        
        PID:4088
        
        C:\Users\Admin\AppData\Local\Temp\57EF.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\57EF.tmp"
        161⤵
        
        PID:4840
        
        C:\Users\Admin\AppData\Local\Temp\582D.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\582D.tmp"
        162⤵
        
        PID:3924
        
        C:\Users\Admin\AppData\Local\Temp\587B.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\587B.tmp"
        163⤵
        
        PID:436
        
        C:\Users\Admin\AppData\Local\Temp\58C9.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\58C9.tmp"
        164⤵
        
        PID:2644
        
        C:\Users\Admin\AppData\Local\Temp\5918.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\5918.tmp"
        165⤵
        
        PID:4980
        
        C:\Users\Admin\AppData\Local\Temp\5966.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\5966.tmp"
        166⤵
        
        PID:508
        
        C:\Users\Admin\AppData\Local\Temp\59B4.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\59B4.tmp"
        167⤵
        
        PID:4716
        
        C:\Users\Admin\AppData\Local\Temp\5A02.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\5A02.tmp"
        168⤵
        
        PID:1460
        
        C:\Users\Admin\AppData\Local\Temp\5A50.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\5A50.tmp"
        169⤵
        
        PID:628
        
        C:\Users\Admin\AppData\Local\Temp\5A9E.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\5A9E.tmp"
        170⤵
        
        PID:4504
        
        C:\Users\Admin\AppData\Local\Temp\5AEC.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\5AEC.tmp"
        171⤵
        
        PID:4196
        
        C:\Users\Admin\AppData\Local\Temp\5B3A.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\5B3A.tmp"
        172⤵
        
        PID:2836
        
        C:\Users\Admin\AppData\Local\Temp\5B89.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\5B89.tmp"
        173⤵
        
        PID:5088
        
        C:\Users\Admin\AppData\Local\Temp\5BD7.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\5BD7.tmp"
        174⤵
        
        PID:3792
        
        C:\Users\Admin\AppData\Local\Temp\5C25.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\5C25.tmp"
        175⤵
        
        PID:4172
        
        C:\Users\Admin\AppData\Local\Temp\5C73.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\5C73.tmp"
        176⤵
        
        PID:1212
        
        C:\Users\Admin\AppData\Local\Temp\5CC1.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\5CC1.tmp"
        177⤵
        
        PID:1484
        
        C:\Users\Admin\AppData\Local\Temp\5D0F.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\5D0F.tmp"
        178⤵
        
        PID:4420
        
        C:\Users\Admin\AppData\Local\Temp\5D5D.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\5D5D.tmp"
        179⤵
        
        PID:1076
        
        C:\Users\Admin\AppData\Local\Temp\5DAB.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\5DAB.tmp"
        180⤵
        
        PID:1440
        
        C:\Users\Admin\AppData\Local\Temp\5DFA.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\5DFA.tmp"
        181⤵
        
        PID:812
        
        C:\Users\Admin\AppData\Local\Temp\5E48.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\5E48.tmp"
        182⤵
        
        PID:4204
        
        C:\Users\Admin\AppData\Local\Temp\5E96.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\5E96.tmp"
        183⤵
        
        PID:1532
        
        C:\Users\Admin\AppData\Local\Temp\5ED4.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\5ED4.tmp"
        184⤵
        
        PID:232
        
        C:\Users\Admin\AppData\Local\Temp\5F13.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\5F13.tmp"
        185⤵
        
        PID:4232
        
        C:\Users\Admin\AppData\Local\Temp\5F61.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\5F61.tmp"
        186⤵
        
        PID:5064
        
        C:\Users\Admin\AppData\Local\Temp\5FAF.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\5FAF.tmp"
        187⤵
        
        PID:4344
        
        C:\Users\Admin\AppData\Local\Temp\5FFD.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\5FFD.tmp"
        188⤵
        
        PID:1136
        
        C:\Users\Admin\AppData\Local\Temp\604B.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\604B.tmp"
        189⤵
        
        PID:3600
        
        C:\Users\Admin\AppData\Local\Temp\6099.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\6099.tmp"
        190⤵
        
        PID:2324
        
        C:\Users\Admin\AppData\Local\Temp\60E8.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\60E8.tmp"
        191⤵
        
        PID:2188
        
        C:\Users\Admin\AppData\Local\Temp\6136.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\6136.tmp"
        192⤵
        
        PID:4040
        
        C:\Users\Admin\AppData\Local\Temp\6184.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\6184.tmp"
        193⤵
        
        PID:2632
        
        C:\Users\Admin\AppData\Local\Temp\61D2.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\61D2.tmp"
        194⤵
        
        PID:2412
        
        C:\Users\Admin\AppData\Local\Temp\6220.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\6220.tmp"
        195⤵
        
        PID:4944
        
        C:\Users\Admin\AppData\Local\Temp\626E.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\626E.tmp"
        196⤵
        
        PID:220
        
        C:\Users\Admin\AppData\Local\Temp\62BC.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\62BC.tmp"
        197⤵
        
        PID:4364
        
        C:\Users\Admin\AppData\Local\Temp\630A.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\630A.tmp"
        198⤵
        
        PID:3316
        
        C:\Users\Admin\AppData\Local\Temp\6359.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\6359.tmp"
        199⤵
        
        PID:3508
        
        C:\Users\Admin\AppData\Local\Temp\63A7.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\63A7.tmp"
        200⤵
        
        PID:2728
        
        C:\Users\Admin\AppData\Local\Temp\63F5.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\63F5.tmp"
        201⤵
        
        PID:4028
        
        C:\Users\Admin\AppData\Local\Temp\6443.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\6443.tmp"
        202⤵
        
        PID:2580
        
        C:\Users\Admin\AppData\Local\Temp\6491.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\6491.tmp"
        203⤵
        
        PID:3624
        
        C:\Users\Admin\AppData\Local\Temp\64DF.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\64DF.tmp"
        204⤵
        
        PID:1700
        
        C:\Users\Admin\AppData\Local\Temp\652D.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\652D.tmp"
        205⤵
        
        PID:2708
        
        C:\Users\Admin\AppData\Local\Temp\657B.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\657B.tmp"
        206⤵
        
        PID:5044
        
        C:\Users\Admin\AppData\Local\Temp\65CA.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\65CA.tmp"
        207⤵
        
        PID:2560
        
        C:\Users\Admin\AppData\Local\Temp\6618.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\6618.tmp"
        208⤵
        
        PID:5048
        
        C:\Users\Admin\AppData\Local\Temp\6666.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\6666.tmp"
        209⤵
        
        PID:3800
        
        C:\Users\Admin\AppData\Local\Temp\66C4.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\66C4.tmp"
        210⤵
        
        PID:3500
        
        C:\Users\Admin\AppData\Local\Temp\6712.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\6712.tmp"
        211⤵
        
        PID:2740
        
        C:\Users\Admin\AppData\Local\Temp\6760.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\6760.tmp"
        212⤵
        
        PID:2532
        
        C:\Users\Admin\AppData\Local\Temp\679E.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\679E.tmp"
        213⤵
        
        PID:5032
        
        C:\Users\Admin\AppData\Local\Temp\67EC.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\67EC.tmp"
        214⤵
        
        PID:4252
        
        C:\Users\Admin\AppData\Local\Temp\683B.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\683B.tmp"
        215⤵
        
        PID:3096
        
        C:\Users\Admin\AppData\Local\Temp\6889.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\6889.tmp"
        216⤵
        
        PID:2408
        
        C:\Users\Admin\AppData\Local\Temp\68D7.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\68D7.tmp"
        217⤵
        
        PID:2592
        
        C:\Users\Admin\AppData\Local\Temp\6915.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\6915.tmp"
        218⤵
        
        PID:2524
        
        C:\Users\Admin\AppData\Local\Temp\6963.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\6963.tmp"
        219⤵
        
        PID:3320
        
        C:\Users\Admin\AppData\Local\Temp\69B2.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\69B2.tmp"
        220⤵
        
        PID:1364
        
        C:\Users\Admin\AppData\Local\Temp\6A00.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\6A00.tmp"
        221⤵
        
        PID:4812
        
        C:\Users\Admin\AppData\Local\Temp\6A4E.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\6A4E.tmp"
        222⤵
        
        PID:2680
        
        C:\Users\Admin\AppData\Local\Temp\6A9C.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\6A9C.tmp"
        223⤵
        
        PID:3912
        
        C:\Users\Admin\AppData\Local\Temp\6AEA.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\6AEA.tmp"
        224⤵
        
        PID:3528
        
        C:\Users\Admin\AppData\Local\Temp\6B38.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\6B38.tmp"
        225⤵
        
        PID:364
        
        C:\Users\Admin\AppData\Local\Temp\6B86.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\6B86.tmp"
        226⤵
        
        PID:3876
        
        C:\Users\Admin\AppData\Local\Temp\6BD4.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\6BD4.tmp"
        227⤵
        
        PID:2420
        
        C:\Users\Admin\AppData\Local\Temp\6C13.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\6C13.tmp"
        228⤵
        
        PID:2588
        
        C:\Users\Admin\AppData\Local\Temp\6C61.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\6C61.tmp"
        229⤵
        
        PID:684
        
        C:\Users\Admin\AppData\Local\Temp\6CAF.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\6CAF.tmp"
        230⤵
        
        PID:4064
        
        C:\Users\Admin\AppData\Local\Temp\6CEE.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\6CEE.tmp"
        231⤵
        
        PID:4728
        
        C:\Users\Admin\AppData\Local\Temp\6D3C.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\6D3C.tmp"
        232⤵
        
        PID:3352
        
        C:\Users\Admin\AppData\Local\Temp\6D8A.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\6D8A.tmp"
        233⤵
        
        PID:4944
        
        C:\Users\Admin\AppData\Local\Temp\6DC8.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\6DC8.tmp"
        234⤵
        
        PID:220
        
        C:\Users\Admin\AppData\Local\Temp\6E17.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\6E17.tmp"
        235⤵
        
        PID:1756
        
        C:\Users\Admin\AppData\Local\Temp\6E65.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\6E65.tmp"
        236⤵
        
        PID:3992
        
        C:\Users\Admin\AppData\Local\Temp\6EB3.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\6EB3.tmp"
        237⤵
        
        PID:3508
        
        C:\Users\Admin\AppData\Local\Temp\6F01.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\6F01.tmp"
        238⤵
        
        PID:2728
        
        C:\Users\Admin\AppData\Local\Temp\6F4F.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\6F4F.tmp"
        239⤵
        
        PID:2612
        
        C:\Users\Admin\AppData\Local\Temp\6F9D.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\6F9D.tmp"
        240⤵
        
        PID:2580
        
        C:\Users\Admin\AppData\Local\Temp\6FEB.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\6FEB.tmp"
        241⤵
        
        PID:3624
        
        C:\Users\Admin\AppData\Local\Temp\702A.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\702A.tmp"
        242⤵
        
        PID:1700
        
        C:\Users\Admin\AppData\Local\Temp\7078.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\7078.tmp"
        243⤵
        
        PID:2708
        
        C:\Users\Admin\AppData\Local\Temp\70C6.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\70C6.tmp"
        244⤵
        
        PID:5044
        
        C:\Users\Admin\AppData\Local\Temp\7114.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\7114.tmp"
        245⤵
        
        PID:2616
        
        C:\Users\Admin\AppData\Local\Temp\7162.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\7162.tmp"
        246⤵
        
        PID:4196
        
        C:\Users\Admin\AppData\Local\Temp\71B0.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\71B0.tmp"
        247⤵
        
        PID:4824
        
        C:\Users\Admin\AppData\Local\Temp\71FF.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\71FF.tmp"
        248⤵
        
        PID:4264
        
        C:\Users\Admin\AppData\Local\Temp\723D.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\723D.tmp"
        249⤵
        
        PID:2200
        
        C:\Users\Admin\AppData\Local\Temp\728B.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\728B.tmp"
        250⤵
        
        PID:4948
        
        C:\Users\Admin\AppData\Local\Temp\72D9.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\72D9.tmp"
        251⤵
        
        PID:1212
        
        C:\Users\Admin\AppData\Local\Temp\7327.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\7327.tmp"
        252⤵
        
        PID:1040
        
        C:\Users\Admin\AppData\Local\Temp\7376.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\7376.tmp"
        253⤵
        
        PID:4420
        
        C:\Users\Admin\AppData\Local\Temp\73B4.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\73B4.tmp"
        254⤵
        
        PID:1076
        
        C:\Users\Admin\AppData\Local\Temp\7402.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\7402.tmp"
        255⤵
        
        PID:4300
        
        C:\Users\Admin\AppData\Local\Temp\7450.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\7450.tmp"
        256⤵
        
        PID:812
        
        C:\Users\Admin\AppData\Local\Temp\748F.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\748F.tmp"
        257⤵
        
        PID:4204
        
        C:\Users\Admin\AppData\Local\Temp\74CD.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\74CD.tmp"
        258⤵
        
        PID:232
        
        C:\Users\Admin\AppData\Local\Temp\751B.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\751B.tmp"
        259⤵
        
        PID:4232
        
        C:\Users\Admin\AppData\Local\Temp\755A.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\755A.tmp"
        260⤵
        
        PID:1628
        
        C:\Users\Admin\AppData\Local\Temp\75A8.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\75A8.tmp"
        261⤵
        
        PID:2236
        
        C:\Users\Admin\AppData\Local\Temp\75F6.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\75F6.tmp"
        151⤵
        
        PID:1820
        
        C:\Users\Admin\AppData\Local\Temp\7644.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\7644.tmp"
        152⤵
        
        PID:1044
        
        C:\Users\Admin\AppData\Local\Temp\7692.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\7692.tmp"
        153⤵
        
        PID:228
        
        C:\Users\Admin\AppData\Local\Temp\76E1.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\76E1.tmp"
        154⤵
        
        PID:2196
        
        C:\Users\Admin\AppData\Local\Temp\772F.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\772F.tmp"
        155⤵
        
        PID:3956
        
        C:\Users\Admin\AppData\Local\Temp\777D.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\777D.tmp"
        156⤵
        
        PID:2876
        
        C:\Users\Admin\AppData\Local\Temp\77CB.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\77CB.tmp"
        157⤵
        
        PID:4564
        
        C:\Users\Admin\AppData\Local\Temp\7819.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\7819.tmp"
        158⤵
        
        PID:4728
        
        C:\Users\Admin\AppData\Local\Temp\7867.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\7867.tmp"
        159⤵
        
        PID:3352
        
        C:\Users\Admin\AppData\Local\Temp\78B5.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\78B5.tmp"
        160⤵
        
        PID:4944
        
        C:\Users\Admin\AppData\Local\Temp\7903.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\7903.tmp"
        161⤵
        
        PID:3164
        
        C:\Users\Admin\AppData\Local\Temp\7952.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\7952.tmp"
        162⤵
        
        PID:1756
        
        C:\Users\Admin\AppData\Local\Temp\7990.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\7990.tmp"
        163⤵
        
        PID:3992
        
        C:\Users\Admin\AppData\Local\Temp\79DE.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\79DE.tmp"
        164⤵
        
        PID:3508
        
        C:\Users\Admin\AppData\Local\Temp\7A2C.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\7A2C.tmp"
        165⤵
        
        PID:2728
        
        C:\Users\Admin\AppData\Local\Temp\7A7A.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\7A7A.tmp"
        166⤵
        
        PID:2612
        
        C:\Users\Admin\AppData\Local\Temp\7AC9.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\7AC9.tmp"
        167⤵
        
        PID:2988
        
        C:\Users\Admin\AppData\Local\Temp\7B17.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\7B17.tmp"
        168⤵
        
        PID:1228
        
        C:\Users\Admin\AppData\Local\Temp\7B65.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\7B65.tmp"
        169⤵
        
        PID:1992
        
        C:\Users\Admin\AppData\Local\Temp\7BB3.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\7BB3.tmp"
        170⤵
        
        PID:1944
        
        C:\Users\Admin\AppData\Local\Temp\7C01.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\7C01.tmp"
        171⤵
        
        PID:3848
        
        C:\Users\Admin\AppData\Local\Temp\7C4F.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\7C4F.tmp"
        172⤵
        
        PID:4608
        
        C:\Users\Admin\AppData\Local\Temp\7C9D.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\7C9D.tmp"
        173⤵
        
        PID:2836
        
        C:\Users\Admin\AppData\Local\Temp\7CEB.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\7CEB.tmp"
        174⤵
        
        PID:408
        
        C:\Users\Admin\AppData\Local\Temp\7D3A.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\7D3A.tmp"
        175⤵
        
        PID:4172
        
        C:\Users\Admin\AppData\Local\Temp\7D88.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\7D88.tmp"
        176⤵
        
        PID:4948
        
        C:\Users\Admin\AppData\Local\Temp\7DD6.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\7DD6.tmp"
        177⤵
        
        PID:1212
        
        C:\Users\Admin\AppData\Local\Temp\7E24.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\7E24.tmp"
        178⤵
        
        PID:1040
        
        C:\Users\Admin\AppData\Local\Temp\7E72.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\7E72.tmp"
        179⤵
        
        PID:1440
        
        C:\Users\Admin\AppData\Local\Temp\7EC0.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\7EC0.tmp"
        180⤵
        
        PID:1076
        
        C:\Users\Admin\AppData\Local\Temp\7F0E.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\7F0E.tmp"
        181⤵
        
        PID:4300
        
        C:\Users\Admin\AppData\Local\Temp\7F5C.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\7F5C.tmp"
        182⤵
        
        PID:812
        
        C:\Users\Admin\AppData\Local\Temp\7FAB.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\7FAB.tmp"
        183⤵
        
        PID:4204
        
        C:\Users\Admin\AppData\Local\Temp\7FF9.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\7FF9.tmp"
        184⤵
        
        PID:232
        
        C:\Users\Admin\AppData\Local\Temp\8047.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\8047.tmp"
        185⤵
        
        PID:3340

C:\Users\Admin\AppData\Local\Temp\6254.tmp
"C:\Users\Admin\AppData\Local\Temp\6254.tmp"
1⤵
PID:1976
- C:\Users\Admin\AppData\Local\Temp\62A2.tmp
  "C:\Users\Admin\AppData\Local\Temp\62A2.tmp"
  2⤵
  PID:3312
- - C:\Users\Admin\AppData\Local\Temp\72BF.tmp
    "C:\Users\Admin\AppData\Local\Temp\72BF.tmp"
    3⤵
    PID:2264
  - - C:\Users\Admin\AppData\Local\Temp\730D.tmp
      "C:\Users\Admin\AppData\Local\Temp\730D.tmp"
      4⤵
      PID:4032
    - - C:\Users\Admin\AppData\Local\Temp\735B.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\735B.tmp"
        5⤵
        
        PID:2804
      - C:\Users\Admin\AppData\Local\Temp\4BCE.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\4BCE.tmp"
        6⤵
        Executes dropped EXE
        Suspicious use of WriteProcessMemory
        
        PID:4776

C:\Users\Admin\AppData\Local\Temp\632E.tmp
"C:\Users\Admin\AppData\Local\Temp\632E.tmp"
1⤵
PID:4032
- C:\Users\Admin\AppData\Local\Temp\637D.tmp
  "C:\Users\Admin\AppData\Local\Temp\637D.tmp"
  2⤵
  PID:2804
- - C:\Users\Admin\AppData\Local\Temp\63CB.tmp
    "C:\Users\Admin\AppData\Local\Temp\63CB.tmp"
    3⤵
    PID:3416
- - C:\Users\Admin\AppData\Local\Temp\73A9.tmp
    "C:\Users\Admin\AppData\Local\Temp\73A9.tmp"
    3⤵
    PID:1392
  - - C:\Users\Admin\AppData\Local\Temp\73E8.tmp
      "C:\Users\Admin\AppData\Local\Temp\73E8.tmp"
      4⤵
      PID:1364

C:\Users\Admin\AppData\Local\Temp\6419.tmp
"C:\Users\Admin\AppData\Local\Temp\6419.tmp"
1⤵
PID:4404
- C:\Users\Admin\AppData\Local\Temp\6467.tmp
  "C:\Users\Admin\AppData\Local\Temp\6467.tmp"
  2⤵
  PID:928
- - C:\Users\Admin\AppData\Local\Temp\64B5.tmp
    "C:\Users\Admin\AppData\Local\Temp\64B5.tmp"
    3⤵
    PID:3252
  - - C:\Users\Admin\AppData\Local\Temp\6503.tmp
      "C:\Users\Admin\AppData\Local\Temp\6503.tmp"
      4⤵
      PID:872
    - - C:\Users\Admin\AppData\Local\Temp\6551.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\6551.tmp"
        5⤵
        
        PID:2372
      - C:\Users\Admin\AppData\Local\Temp\65AF.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\65AF.tmp"
        6⤵
        
        PID:3400
        
        C:\Users\Admin\AppData\Local\Temp\65FD.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\65FD.tmp"
        7⤵
        
        PID:4292
  - - C:\Users\Admin\AppData\Local\Temp\4C99.tmp
      "C:\Users\Admin\AppData\Local\Temp\4C99.tmp"
      4⤵
      Executes dropped EXE
      PID:3880

C:\Users\Admin\AppData\Local\Temp\664B.tmp
"C:\Users\Admin\AppData\Local\Temp\664B.tmp"
1⤵
PID:4444
- C:\Users\Admin\AppData\Local\Temp\6699.tmp
  "C:\Users\Admin\AppData\Local\Temp\6699.tmp"
  2⤵
  PID:4316
- - C:\Users\Admin\AppData\Local\Temp\66E8.tmp
    "C:\Users\Admin\AppData\Local\Temp\66E8.tmp"
    3⤵
    PID:2280

C:\Users\Admin\AppData\Local\Temp\6784.tmp
"C:\Users\Admin\AppData\Local\Temp\6784.tmp"
1⤵
PID:3464
- C:\Users\Admin\AppData\Local\Temp\67D2.tmp
  "C:\Users\Admin\AppData\Local\Temp\67D2.tmp"
  2⤵
  PID:3068
- - C:\Users\Admin\AppData\Local\Temp\6820.tmp
    "C:\Users\Admin\AppData\Local\Temp\6820.tmp"
    3⤵
    PID:4728
  - - C:\Users\Admin\AppData\Local\Temp\686E.tmp
      "C:\Users\Admin\AppData\Local\Temp\686E.tmp"
      4⤵
      PID:1444
    - - C:\Users\Admin\AppData\Local\Temp\68CC.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\68CC.tmp"
        5⤵
        
        PID:4912
- C:\Users\Admin\AppData\Local\Temp\83F5.tmp
  "C:\Users\Admin\AppData\Local\Temp\83F5.tmp"
  2⤵
  PID:1552
- - C:\Users\Admin\AppData\Local\Temp\8443.tmp
    "C:\Users\Admin\AppData\Local\Temp\8443.tmp"
    3⤵
    PID:4072
  - - C:\Users\Admin\AppData\Local\Temp\8491.tmp
      "C:\Users\Admin\AppData\Local\Temp\8491.tmp"
      4⤵
      PID:4376
    - - C:\Users\Admin\AppData\Local\Temp\84DF.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\84DF.tmp"
        5⤵
        
        PID:3956

C:\Users\Admin\AppData\Local\Temp\691A.tmp
"C:\Users\Admin\AppData\Local\Temp\691A.tmp"
1⤵
PID:228
- C:\Users\Admin\AppData\Local\Temp\6968.tmp
  "C:\Users\Admin\AppData\Local\Temp\6968.tmp"
  2⤵
  PID:3632
- - C:\Users\Admin\AppData\Local\Temp\69B6.tmp
    "C:\Users\Admin\AppData\Local\Temp\69B6.tmp"
    3⤵
    PID:684
- - C:\Users\Admin\AppData\Local\Temp\4F1A.tmp
    "C:\Users\Admin\AppData\Local\Temp\4F1A.tmp"
    3⤵
    - Executes dropped EXE
    PID:4364
- C:\Users\Admin\AppData\Local\Temp\4ECC.tmp
  "C:\Users\Admin\AppData\Local\Temp\4ECC.tmp"
  2⤵
  PID:3632

C:\Users\Admin\AppData\Local\Temp\6A04.tmp
"C:\Users\Admin\AppData\Local\Temp\6A04.tmp"
1⤵
PID:3444
- C:\Users\Admin\AppData\Local\Temp\6A53.tmp
  "C:\Users\Admin\AppData\Local\Temp\6A53.tmp"
  2⤵
  - Executes dropped EXE
  PID:4872
- - C:\Users\Admin\AppData\Local\Temp\6AA1.tmp
    "C:\Users\Admin\AppData\Local\Temp\6AA1.tmp"
    3⤵
    PID:2880
  - - C:\Users\Admin\AppData\Local\Temp\6AEF.tmp
      "C:\Users\Admin\AppData\Local\Temp\6AEF.tmp"
      4⤵
      PID:732
    - - C:\Users\Admin\AppData\Local\Temp\6B3D.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\6B3D.tmp"
        5⤵
        
        PID:5056
      - C:\Users\Admin\AppData\Local\Temp\6B8B.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\6B8B.tmp"
        6⤵
        
        PID:2688

C:\Users\Admin\AppData\Local\Temp\6BD9.tmp
"C:\Users\Admin\AppData\Local\Temp\6BD9.tmp"
1⤵
PID:1992
- C:\Users\Admin\AppData\Local\Temp\6C18.tmp
  "C:\Users\Admin\AppData\Local\Temp\6C18.tmp"
  2⤵
  PID:8
- - C:\Users\Admin\AppData\Local\Temp\6C66.tmp
    "C:\Users\Admin\AppData\Local\Temp\6C66.tmp"
    3⤵
    PID:1460

C:\Users\Admin\AppData\Local\Temp\6CB4.tmp
"C:\Users\Admin\AppData\Local\Temp\6CB4.tmp"
1⤵
PID:1476
- C:\Users\Admin\AppData\Local\Temp\7C06.tmp
  "C:\Users\Admin\AppData\Local\Temp\7C06.tmp"
  2⤵
  PID:2296
- - C:\Users\Admin\AppData\Local\Temp\7C54.tmp
    "C:\Users\Admin\AppData\Local\Temp\7C54.tmp"
    3⤵
    PID:3696
  - - C:\Users\Admin\AppData\Local\Temp\7CA2.tmp
      "C:\Users\Admin\AppData\Local\Temp\7CA2.tmp"
      4⤵
      PID:4824
    - - C:\Users\Admin\AppData\Local\Temp\7CF0.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\7CF0.tmp"
        5⤵
        
        PID:624
      - C:\Users\Admin\AppData\Local\Temp\7D3E.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\7D3E.tmp"
        6⤵
        Executes dropped EXE
        
        PID:1144
        
        C:\Users\Admin\AppData\Local\Temp\7D8C.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\7D8C.tmp"
        7⤵
        
        PID:5080
      - C:\Users\Admin\AppData\Local\Temp\F6C4.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\F6C4.tmp"
        6⤵
        
        PID:332

C:\Users\Admin\AppData\Local\Temp\6D41.tmp
"C:\Users\Admin\AppData\Local\Temp\6D41.tmp"
1⤵
PID:3696
- C:\Users\Admin\AppData\Local\Temp\6D8F.tmp
  "C:\Users\Admin\AppData\Local\Temp\6D8F.tmp"
  2⤵
  PID:4824

C:\Users\Admin\AppData\Local\Temp\6E89.tmp
"C:\Users\Admin\AppData\Local\Temp\6E89.tmp"
1⤵
PID:5080
- C:\Users\Admin\AppData\Local\Temp\6ED7.tmp
  "C:\Users\Admin\AppData\Local\Temp\6ED7.tmp"
  2⤵
  PID:4792
- - C:\Users\Admin\AppData\Local\Temp\6F25.tmp
    "C:\Users\Admin\AppData\Local\Temp\6F25.tmp"
    3⤵
    PID:2120
  - - C:\Users\Admin\AppData\Local\Temp\6F63.tmp
      "C:\Users\Admin\AppData\Local\Temp\6F63.tmp"
      4⤵
      PID:3256
- C:\Users\Admin\AppData\Local\Temp\7DCB.tmp
  "C:\Users\Admin\AppData\Local\Temp\7DCB.tmp"
  2⤵
  PID:4792

C:\Users\Admin\AppData\Local\Temp\7000.tmp
"C:\Users\Admin\AppData\Local\Temp\7000.tmp"
1⤵
PID:4388
- C:\Users\Admin\AppData\Local\Temp\704E.tmp
  "C:\Users\Admin\AppData\Local\Temp\704E.tmp"
  2⤵
  PID:508
- - C:\Users\Admin\AppData\Local\Temp\709C.tmp
    "C:\Users\Admin\AppData\Local\Temp\709C.tmp"
    3⤵
    PID:756

C:\Users\Admin\AppData\Local\Temp\70EA.tmp
"C:\Users\Admin\AppData\Local\Temp\70EA.tmp"
1⤵
PID:4120
- C:\Users\Admin\AppData\Local\Temp\7138.tmp
  "C:\Users\Admin\AppData\Local\Temp\7138.tmp"
  2⤵
  PID:1336
- - C:\Users\Admin\AppData\Local\Temp\7186.tmp
    "C:\Users\Admin\AppData\Local\Temp\7186.tmp"
    3⤵
    PID:4048
- - C:\Users\Admin\AppData\Local\Temp\4AE4.tmp
    "C:\Users\Admin\AppData\Local\Temp\4AE4.tmp"
    3⤵
    - Executes dropped EXE
    - Suspicious use of WriteProcessMemory
    PID:1684

C:\Users\Admin\AppData\Local\Temp\71D4.tmp
"C:\Users\Admin\AppData\Local\Temp\71D4.tmp"
1⤵
PID:2868
- C:\Users\Admin\AppData\Local\Temp\7223.tmp
  "C:\Users\Admin\AppData\Local\Temp\7223.tmp"
  2⤵
  PID:1976
- - C:\Users\Admin\AppData\Local\Temp\7271.tmp
    "C:\Users\Admin\AppData\Local\Temp\7271.tmp"
    3⤵
    - Executes dropped EXE
    PID:3312
  - - C:\Users\Admin\AppData\Local\Temp\62F0.tmp
      "C:\Users\Admin\AppData\Local\Temp\62F0.tmp"
      4⤵
      PID:2264
  - - C:\Users\Admin\AppData\Local\Temp\562E.tmp
      "C:\Users\Admin\AppData\Local\Temp\562E.tmp"
      4⤵
      Executes dropped EXE
      PID:952

C:\Users\Admin\AppData\Local\Temp\7484.tmp
"C:\Users\Admin\AppData\Local\Temp\7484.tmp"
1⤵
PID:2788
- C:\Users\Admin\AppData\Local\Temp\74D2.tmp
  "C:\Users\Admin\AppData\Local\Temp\74D2.tmp"
  2⤵
  PID:3616
- C:\Users\Admin\AppData\Local\Temp\8D7B.tmp
  "C:\Users\Admin\AppData\Local\Temp\8D7B.tmp"
  2⤵
  PID:3616
- - C:\Users\Admin\AppData\Local\Temp\8DC9.tmp
    "C:\Users\Admin\AppData\Local\Temp\8DC9.tmp"
    3⤵
    PID:2076
  - - C:\Users\Admin\AppData\Local\Temp\8E17.tmp
      "C:\Users\Admin\AppData\Local\Temp\8E17.tmp"
      4⤵
      PID:3656

C:\Users\Admin\AppData\Local\Temp\75FB.tmp
"C:\Users\Admin\AppData\Local\Temp\75FB.tmp"
1⤵
PID:848
- C:\Users\Admin\AppData\Local\Temp\7649.tmp
  "C:\Users\Admin\AppData\Local\Temp\7649.tmp"
  2⤵
  PID:1940
- - C:\Users\Admin\AppData\Local\Temp\7697.tmp
    "C:\Users\Admin\AppData\Local\Temp\7697.tmp"
    3⤵
    PID:464
- C:\Users\Admin\AppData\Local\Temp\9A7B.tmp
  "C:\Users\Admin\AppData\Local\Temp\9A7B.tmp"
  2⤵
  PID:464
- - C:\Users\Admin\AppData\Local\Temp\9AC9.tmp
    "C:\Users\Admin\AppData\Local\Temp\9AC9.tmp"
    3⤵
    PID:4884
  - - C:\Users\Admin\AppData\Local\Temp\9B17.tmp
      "C:\Users\Admin\AppData\Local\Temp\9B17.tmp"
      4⤵
      PID:3044
  - - C:\Users\Admin\AppData\Local\Temp\83A7.tmp
      "C:\Users\Admin\AppData\Local\Temp\83A7.tmp"
      4⤵
      PID:3464

C:\Users\Admin\AppData\Local\Temp\76E5.tmp
"C:\Users\Admin\AppData\Local\Temp\76E5.tmp"
1⤵
PID:4232
- C:\Users\Admin\AppData\Local\Temp\7733.tmp
  "C:\Users\Admin\AppData\Local\Temp\7733.tmp"
  2⤵
  PID:2724
- - C:\Users\Admin\AppData\Local\Temp\7782.tmp
    "C:\Users\Admin\AppData\Local\Temp\7782.tmp"
    3⤵
    PID:4072
  - - C:\Users\Admin\AppData\Local\Temp\77D0.tmp
      "C:\Users\Admin\AppData\Local\Temp\77D0.tmp"
      4⤵
      PID:3092
    - - C:\Users\Admin\AppData\Local\Temp\781E.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\781E.tmp"
        5⤵
        
        PID:3956
      - C:\Users\Admin\AppData\Local\Temp\786C.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\786C.tmp"
        6⤵
        
        PID:2876
        
        C:\Users\Admin\AppData\Local\Temp\78BA.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\78BA.tmp"
        7⤵
        
        PID:5088
        
        C:\Users\Admin\AppData\Local\Temp\7908.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\7908.tmp"
        8⤵
        
        PID:4348

C:\Users\Admin\AppData\Local\Temp\7956.tmp
"C:\Users\Admin\AppData\Local\Temp\7956.tmp"
1⤵
PID:3908
- C:\Users\Admin\AppData\Local\Temp\79A4.tmp
  "C:\Users\Admin\AppData\Local\Temp\79A4.tmp"
  2⤵
  PID:924
- - C:\Users\Admin\AppData\Local\Temp\79F3.tmp
    "C:\Users\Admin\AppData\Local\Temp\79F3.tmp"
    3⤵
    PID:3984

C:\Users\Admin\AppData\Local\Temp\7A41.tmp
"C:\Users\Admin\AppData\Local\Temp\7A41.tmp"
1⤵
PID:216
- C:\Users\Admin\AppData\Local\Temp\7A8F.tmp
  "C:\Users\Admin\AppData\Local\Temp\7A8F.tmp"
  2⤵
  PID:2632
- - C:\Users\Admin\AppData\Local\Temp\879F.tmp
    "C:\Users\Admin\AppData\Local\Temp\879F.tmp"
    3⤵
    PID:4736
  - - C:\Users\Admin\AppData\Local\Temp\87ED.tmp
      "C:\Users\Admin\AppData\Local\Temp\87ED.tmp"
      4⤵
      PID:2688

C:\Windows\System32\WaaSMedicAgent.exe
C:\Windows\System32\WaaSMedicAgent.exe 8d11399c7c808571d42f29c79320b3a1 KbCRwLjyvEOb8HhzLWd3ww.0.1.0.0.0
1⤵
- Executes dropped EXE
PID:2700

C:\Users\Admin\AppData\Local\Temp\7B6A.tmp
"C:\Users\Admin\AppData\Local\Temp\7B6A.tmp"
1⤵
PID:1460

C:\Users\Admin\AppData\Local\Temp\7E67.tmp
"C:\Users\Admin\AppData\Local\Temp\7E67.tmp"
1⤵
- Executes dropped EXE
PID:2560
- C:\Users\Admin\AppData\Local\Temp\7EB5.tmp
  "C:\Users\Admin\AppData\Local\Temp\7EB5.tmp"
  2⤵
  PID:4480
- - C:\Users\Admin\AppData\Local\Temp\7F03.tmp
    "C:\Users\Admin\AppData\Local\Temp\7F03.tmp"
    3⤵
    PID:2260
- C:\Users\Admin\AppData\Local\Temp\54B7.tmp
  "C:\Users\Admin\AppData\Local\Temp\54B7.tmp"
  2⤵
  PID:3964

C:\Windows\system32\svchost.exe
C:\Windows\system32\svchost.exe -k netsvcs -p -s wuauserv
1⤵
- Executes dropped EXE
PID:4908

C:\Users\Admin\AppData\Local\Temp\7FFD.tmp
"C:\Users\Admin\AppData\Local\Temp\7FFD.tmp"
1⤵
PID:3416
- C:\Users\Admin\AppData\Local\Temp\804C.tmp
  "C:\Users\Admin\AppData\Local\Temp\804C.tmp"
  2⤵
  PID:2328

C:\Users\Admin\AppData\Local\Temp\7FAF.tmp
"C:\Users\Admin\AppData\Local\Temp\7FAF.tmp"
1⤵
PID:4084

C:\Users\Admin\AppData\Local\Temp\809A.tmp
"C:\Users\Admin\AppData\Local\Temp\809A.tmp"
1⤵
PID:384
- C:\Users\Admin\AppData\Local\Temp\80E8.tmp
  "C:\Users\Admin\AppData\Local\Temp\80E8.tmp"
  2⤵
  PID:1628
- - C:\Users\Admin\AppData\Local\Temp\8136.tmp
    "C:\Users\Admin\AppData\Local\Temp\8136.tmp"
    3⤵
    PID:2916
  - - C:\Users\Admin\AppData\Local\Temp\8184.tmp
      "C:\Users\Admin\AppData\Local\Temp\8184.tmp"
      4⤵
      PID:1876
    - - C:\Users\Admin\AppData\Local\Temp\81D2.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\81D2.tmp"
        5⤵
        
        PID:4948
      - C:\Users\Admin\AppData\Local\Temp\8220.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\8220.tmp"
        6⤵
        
        PID:3016
        
        C:\Users\Admin\AppData\Local\Temp\826E.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\826E.tmp"
        7⤵
        
        PID:4292
  - - C:\Users\Admin\AppData\Local\Temp\9904.tmp
      "C:\Users\Admin\AppData\Local\Temp\9904.tmp"
      4⤵
      PID:4856
    - - C:\Users\Admin\AppData\Local\Temp\9952.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\9952.tmp"
        5⤵
        
        PID:1440
      - C:\Users\Admin\AppData\Local\Temp\99A0.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\99A0.tmp"
        6⤵
        
        PID:4836
        
        C:\Users\Admin\AppData\Local\Temp\99EE.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\99EE.tmp"
        7⤵
        
        PID:3028
        
        C:\Users\Admin\AppData\Local\Temp\9A2D.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\9A2D.tmp"
        8⤵
        
        PID:848
    - - C:\Users\Admin\AppData\Local\Temp\4D35.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\4D35.tmp"
        5⤵
        Executes dropped EXE
        
        PID:2444

C:\Users\Admin\AppData\Local\Temp\82BD.tmp
"C:\Users\Admin\AppData\Local\Temp\82BD.tmp"
1⤵
PID:4628
- C:\Users\Admin\AppData\Local\Temp\830B.tmp
  "C:\Users\Admin\AppData\Local\Temp\830B.tmp"
  2⤵
  PID:4316
- - C:\Users\Admin\AppData\Local\Temp\8359.tmp
    "C:\Users\Admin\AppData\Local\Temp\8359.tmp"
    3⤵
    PID:4884

C:\Users\Admin\AppData\Local\Temp\882B.tmp
"C:\Users\Admin\AppData\Local\Temp\882B.tmp"
1⤵
PID:2588
- C:\Users\Admin\AppData\Local\Temp\886A.tmp
  "C:\Users\Admin\AppData\Local\Temp\886A.tmp"
  2⤵
  PID:4384

C:\Users\Admin\AppData\Local\Temp\8A7D.tmp
"C:\Users\Admin\AppData\Local\Temp\8A7D.tmp"
1⤵
PID:4716
- C:\Users\Admin\AppData\Local\Temp\8ACB.tmp
  "C:\Users\Admin\AppData\Local\Temp\8ACB.tmp"
  2⤵
  PID:3460
- C:\Users\Admin\AppData\Local\Temp\48FF.tmp
  "C:\Users\Admin\AppData\Local\Temp\48FF.tmp"
  2⤵
  - Executes dropped EXE
  - Suspicious use of WriteProcessMemory
  PID:524

C:\Users\Admin\AppData\Local\Temp\8B0A.tmp
"C:\Users\Admin\AppData\Local\Temp\8B0A.tmp"
1⤵
- Executes dropped EXE
- Suspicious use of WriteProcessMemory
PID:4720
- C:\Users\Admin\AppData\Local\Temp\8B58.tmp
  "C:\Users\Admin\AppData\Local\Temp\8B58.tmp"
  2⤵
  PID:2260
- - C:\Users\Admin\AppData\Local\Temp\8BA6.tmp
    "C:\Users\Admin\AppData\Local\Temp\8BA6.tmp"
    3⤵
    PID:620
  - - C:\Users\Admin\AppData\Local\Temp\8BF4.tmp
      "C:\Users\Admin\AppData\Local\Temp\8BF4.tmp"
      4⤵
      PID:4084
    - - C:\Users\Admin\AppData\Local\Temp\8C42.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\8C42.tmp"
        5⤵
        
        PID:3940
- - C:\Users\Admin\AppData\Local\Temp\7F61.tmp
    "C:\Users\Admin\AppData\Local\Temp\7F61.tmp"
    3⤵
    PID:620
- C:\Users\Admin\AppData\Local\Temp\49AB.tmp
  "C:\Users\Admin\AppData\Local\Temp\49AB.tmp"
  2⤵
  - Executes dropped EXE
  - Suspicious use of WriteProcessMemory
  PID:1016

C:\Users\Admin\AppData\Local\Temp\8C90.tmp
"C:\Users\Admin\AppData\Local\Temp\8C90.tmp"
1⤵
PID:1364
- C:\Users\Admin\AppData\Local\Temp\8CDE.tmp
  "C:\Users\Admin\AppData\Local\Temp\8CDE.tmp"
  2⤵
  PID:5068
- - C:\Users\Admin\AppData\Local\Temp\8D2C.tmp
    "C:\Users\Admin\AppData\Local\Temp\8D2C.tmp"
    3⤵
    PID:2788
- C:\Users\Admin\AppData\Local\Temp\7436.tmp
  "C:\Users\Admin\AppData\Local\Temp\7436.tmp"
  2⤵
  PID:5068

C:\Users\Admin\AppData\Local\Temp\8E65.tmp
"C:\Users\Admin\AppData\Local\Temp\8E65.tmp"
1⤵
PID:3800
- C:\Users\Admin\AppData\Local\Temp\A568.tmp
  "C:\Users\Admin\AppData\Local\Temp\A568.tmp"
  2⤵
  PID:4444
- - C:\Users\Admin\AppData\Local\Temp\A5B6.tmp
    "C:\Users\Admin\AppData\Local\Temp\A5B6.tmp"
    3⤵
    PID:724

C:\Users\Admin\AppData\Local\Temp\8FDC.tmp
"C:\Users\Admin\AppData\Local\Temp\8FDC.tmp"
1⤵
PID:4504
- C:\Users\Admin\AppData\Local\Temp\902A.tmp
  "C:\Users\Admin\AppData\Local\Temp\902A.tmp"
  2⤵
  PID:2096

C:\Users\Admin\AppData\Local\Temp\9078.tmp
"C:\Users\Admin\AppData\Local\Temp\9078.tmp"
1⤵
PID:4728
- C:\Users\Admin\AppData\Local\Temp\90C6.tmp
  "C:\Users\Admin\AppData\Local\Temp\90C6.tmp"
  2⤵
  PID:4072
- - C:\Users\Admin\AppData\Local\Temp\9114.tmp
    "C:\Users\Admin\AppData\Local\Temp\9114.tmp"
    3⤵
    PID:4552
  - - C:\Users\Admin\AppData\Local\Temp\9163.tmp
      "C:\Users\Admin\AppData\Local\Temp\9163.tmp"
      4⤵
      PID:3956
    - - C:\Users\Admin\AppData\Local\Temp\91B1.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\91B1.tmp"
        5⤵
        
        PID:2040
      - C:\Users\Admin\AppData\Local\Temp\91FF.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\91FF.tmp"
        6⤵
        
        PID:5088
        
        C:\Users\Admin\AppData\Local\Temp\924D.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\924D.tmp"
        7⤵
        
        PID:4196
        
        C:\Users\Admin\AppData\Local\Temp\929B.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\929B.tmp"
        8⤵
        
        PID:3908
        
        C:\Users\Admin\AppData\Local\Temp\92E9.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\92E9.tmp"
        9⤵
        
        PID:4200
        
        C:\Users\Admin\AppData\Local\Temp\9DE6.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\9DE6.tmp"
        7⤵
        
        PID:3984
        
        C:\Users\Admin\AppData\Local\Temp\9E34.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\9E34.tmp"
        8⤵
        
        PID:3792

C:\Users\Admin\AppData\Local\Temp\9337.tmp
"C:\Users\Admin\AppData\Local\Temp\9337.tmp"
1⤵
PID:1360
- C:\Users\Admin\AppData\Local\Temp\9385.tmp
  "C:\Users\Admin\AppData\Local\Temp\9385.tmp"
  2⤵
  PID:216
- - C:\Users\Admin\AppData\Local\Temp\93D4.tmp
    "C:\Users\Admin\AppData\Local\Temp\93D4.tmp"
    3⤵
    PID:1720
  - - C:\Users\Admin\AppData\Local\Temp\9422.tmp
      "C:\Users\Admin\AppData\Local\Temp\9422.tmp"
      4⤵
      PID:4456
    - - C:\Users\Admin\AppData\Local\Temp\9470.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\9470.tmp"
        5⤵
        
        PID:5036
      - C:\Users\Admin\AppData\Local\Temp\94BE.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\94BE.tmp"
        6⤵
        
        PID:3432

C:\Users\Admin\AppData\Local\Temp\950C.tmp
"C:\Users\Admin\AppData\Local\Temp\950C.tmp"
1⤵
PID:1476
- C:\Users\Admin\AppData\Local\Temp\955A.tmp
  "C:\Users\Admin\AppData\Local\Temp\955A.tmp"
  2⤵
  PID:3992

C:\Users\Admin\AppData\Local\Temp\95A8.tmp
"C:\Users\Admin\AppData\Local\Temp\95A8.tmp"
1⤵
PID:1964
- C:\Users\Admin\AppData\Local\Temp\95F6.tmp
  "C:\Users\Admin\AppData\Local\Temp\95F6.tmp"
  2⤵
  - Executes dropped EXE
  - Suspicious use of WriteProcessMemory
  PID:4824
- - C:\Users\Admin\AppData\Local\Temp\9645.tmp
    "C:\Users\Admin\AppData\Local\Temp\9645.tmp"
    3⤵
    PID:1212
  - - C:\Users\Admin\AppData\Local\Temp\9693.tmp
      "C:\Users\Admin\AppData\Local\Temp\9693.tmp"
      4⤵
      PID:1280

C:\Windows\system32\svchost.exe
C:\Windows\system32\svchost.exe -k netsvcs -p -s UsoSvc
1⤵
- Executes dropped EXE
- Suspicious use of WriteProcessMemory
PID:224
- C:\Users\Admin\AppData\Local\Temp\48B1.tmp
  "C:\Users\Admin\AppData\Local\Temp\48B1.tmp"
  2⤵
  PID:4716

C:\Users\Admin\AppData\Local\Temp\972F.tmp
"C:\Users\Admin\AppData\Local\Temp\972F.tmp"
1⤵
- Executes dropped EXE
PID:436
- C:\Users\Admin\AppData\Local\Temp\977D.tmp
  "C:\Users\Admin\AppData\Local\Temp\977D.tmp"
  2⤵
  PID:4056

C:\Users\Admin\AppData\Local\Temp\97FA.tmp
"C:\Users\Admin\AppData\Local\Temp\97FA.tmp"
1⤵
PID:2328
- C:\Users\Admin\AppData\Local\Temp\9848.tmp
  "C:\Users\Admin\AppData\Local\Temp\9848.tmp"
  2⤵
  PID:4340

C:\Users\Admin\AppData\Local\Temp\9887.tmp
"C:\Users\Admin\AppData\Local\Temp\9887.tmp"
1⤵
PID:1628
- C:\Users\Admin\AppData\Local\Temp\98C5.tmp
  "C:\Users\Admin\AppData\Local\Temp\98C5.tmp"
  2⤵
  PID:2916
- - C:\Users\Admin\AppData\Local\Temp\BBFD.tmp
    "C:\Users\Admin\AppData\Local\Temp\BBFD.tmp"
    3⤵
    PID:5040
  - - C:\Users\Admin\AppData\Local\Temp\BC4B.tmp
      "C:\Users\Admin\AppData\Local\Temp\BC4B.tmp"
      4⤵
      Executes dropped EXE
      PID:4836
    - - C:\Users\Admin\AppData\Local\Temp\BC99.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\BC99.tmp"
        5⤵
        
        PID:4292
      - C:\Users\Admin\AppData\Local\Temp\BD16.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\BD16.tmp"
        6⤵
        Executes dropped EXE
        
        PID:3100

C:\Users\Admin\AppData\Local\Temp\9B55.tmp
"C:\Users\Admin\AppData\Local\Temp\9B55.tmp"
1⤵
PID:1552
- C:\Users\Admin\AppData\Local\Temp\9BA4.tmp
  "C:\Users\Admin\AppData\Local\Temp\9BA4.tmp"
  2⤵
  PID:3684

C:\Users\Admin\AppData\Local\Temp\9BF2.tmp
"C:\Users\Admin\AppData\Local\Temp\9BF2.tmp"
1⤵
PID:4728
- C:\Users\Admin\AppData\Local\Temp\9C40.tmp
  "C:\Users\Admin\AppData\Local\Temp\9C40.tmp"
  2⤵
  PID:4072
- - C:\Users\Admin\AppData\Local\Temp\9CAD.tmp
    "C:\Users\Admin\AppData\Local\Temp\9CAD.tmp"
    3⤵
    PID:4552
  - - C:\Users\Admin\AppData\Local\Temp\9CFB.tmp
      "C:\Users\Admin\AppData\Local\Temp\9CFB.tmp"
      4⤵
      PID:3956
    - - C:\Users\Admin\AppData\Local\Temp\9D49.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\9D49.tmp"
        5⤵
        
        PID:2040
      - C:\Users\Admin\AppData\Local\Temp\9D98.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\9D98.tmp"
        6⤵
        
        PID:5088

C:\Users\Admin\AppData\Local\Temp\9E82.tmp
"C:\Users\Admin\AppData\Local\Temp\9E82.tmp"
1⤵
PID:1372
- C:\Users\Admin\AppData\Local\Temp\9ED0.tmp
  "C:\Users\Admin\AppData\Local\Temp\9ED0.tmp"
  2⤵
  PID:4944
- - C:\Users\Admin\AppData\Local\Temp\9F1E.tmp
    "C:\Users\Admin\AppData\Local\Temp\9F1E.tmp"
    3⤵
    PID:2860

C:\Users\Admin\AppData\Local\Temp\9F6C.tmp
"C:\Users\Admin\AppData\Local\Temp\9F6C.tmp"
1⤵
PID:232
- C:\Users\Admin\AppData\Local\Temp\9FBA.tmp
  "C:\Users\Admin\AppData\Local\Temp\9FBA.tmp"
  2⤵
  PID:1460
- - C:\Users\Admin\AppData\Local\Temp\A009.tmp
    "C:\Users\Admin\AppData\Local\Temp\A009.tmp"
    3⤵
    - Executes dropped EXE
    - Suspicious use of WriteProcessMemory
    PID:3876
  - - C:\Users\Admin\AppData\Local\Temp\A057.tmp
      "C:\Users\Admin\AppData\Local\Temp\A057.tmp"
      4⤵
      PID:364
- - C:\Users\Admin\AppData\Local\Temp\7BB8.tmp
    "C:\Users\Admin\AppData\Local\Temp\7BB8.tmp"
    3⤵
    - Executes dropped EXE
    - Suspicious use of WriteProcessMemory
    PID:1476
  - - C:\Users\Admin\AppData\Local\Temp\6D02.tmp
      "C:\Users\Admin\AppData\Local\Temp\6D02.tmp"
      4⤵
      PID:2296

C:\Users\Admin\AppData\Local\Temp\A0A5.tmp
"C:\Users\Admin\AppData\Local\Temp\A0A5.tmp"
1⤵
PID:3492
- C:\Users\Admin\AppData\Local\Temp\A0F3.tmp
  "C:\Users\Admin\AppData\Local\Temp\A0F3.tmp"
  2⤵
  PID:4604
- - C:\Users\Admin\AppData\Local\Temp\A141.tmp
    "C:\Users\Admin\AppData\Local\Temp\A141.tmp"
    3⤵
    PID:3628

C:\Users\Admin\AppData\Local\Temp\A604.tmp
"C:\Users\Admin\AppData\Local\Temp\A604.tmp"
1⤵
PID:1820
- C:\Users\Admin\AppData\Local\Temp\A652.tmp
  "C:\Users\Admin\AppData\Local\Temp\A652.tmp"
  2⤵
  PID:2280
- - C:\Users\Admin\AppData\Local\Temp\A6A0.tmp
    "C:\Users\Admin\AppData\Local\Temp\A6A0.tmp"
    3⤵
    PID:3044
  - - C:\Users\Admin\AppData\Local\Temp\A6EE.tmp
      "C:\Users\Admin\AppData\Local\Temp\A6EE.tmp"
      4⤵
      PID:1552
    - - C:\Users\Admin\AppData\Local\Temp\A72D.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\A72D.tmp"
        5⤵
        
        PID:3684
      - C:\Users\Admin\AppData\Local\Temp\A77B.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\A77B.tmp"
        6⤵
        
        PID:4728
        
        C:\Users\Admin\AppData\Local\Temp\A7C9.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\A7C9.tmp"
        7⤵
        
        PID:4072
        
        C:\Users\Admin\AppData\Local\Temp\A817.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\A817.tmp"
        8⤵
        
        PID:4552
        
        C:\Users\Admin\AppData\Local\Temp\A865.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\A865.tmp"
        9⤵
        
        PID:3956
        
        C:\Users\Admin\AppData\Local\Temp\A8B3.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\A8B3.tmp"
        10⤵
        
        PID:2040
        
        C:\Users\Admin\AppData\Local\Temp\A901.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\A901.tmp"
        11⤵
        
        PID:5088
        
        C:\Users\Admin\AppData\Local\Temp\A950.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\A950.tmp"
        12⤵
        
        PID:2616
        
        C:\Users\Admin\AppData\Local\Temp\A99E.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\A99E.tmp"
        13⤵
        
        PID:3792
        
        C:\Users\Admin\AppData\Local\Temp\A9EC.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\A9EC.tmp"
        14⤵
        
        PID:1372
        
        C:\Users\Admin\AppData\Local\Temp\AA3A.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\AA3A.tmp"
        15⤵
        Executes dropped EXE
        
        PID:4944
        
        C:\Users\Admin\AppData\Local\Temp\AA88.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\AA88.tmp"
        16⤵
        
        PID:2860
        
        C:\Users\Admin\AppData\Local\Temp\AAD6.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\AAD6.tmp"
        17⤵
        
        PID:232
        
        C:\Users\Admin\AppData\Local\Temp\AB24.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\AB24.tmp"
        18⤵
        
        PID:212
        
        C:\Users\Admin\AppData\Local\Temp\AB72.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\AB72.tmp"
        19⤵
        
        PID:344
        
        C:\Users\Admin\AppData\Local\Temp\ABC1.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\ABC1.tmp"
        20⤵
        
        PID:3748
        
        C:\Users\Admin\AppData\Local\Temp\AC0F.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\AC0F.tmp"
        21⤵
        
        PID:3492
        
        C:\Users\Admin\AppData\Local\Temp\AC5D.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\AC5D.tmp"
        22⤵
        
        PID:4604
        
        C:\Users\Admin\AppData\Local\Temp\ACAB.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\ACAB.tmp"
        23⤵
        Executes dropped EXE
        
        PID:3628
        
        C:\Users\Admin\AppData\Local\Temp\ACF9.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\ACF9.tmp"
        24⤵
        
        PID:4184
        
        C:\Users\Admin\AppData\Local\Temp\AD47.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\AD47.tmp"
        25⤵
        
        PID:2260
        
        C:\Users\Admin\AppData\Local\Temp\AD95.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\AD95.tmp"
        26⤵
        
        PID:3624
        
        C:\Users\Admin\AppData\Local\Temp\7B2B.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\7B2B.tmp"
        15⤵
        
        PID:3900
        
        C:\Users\Admin\AppData\Local\Temp\852E.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\852E.tmp"
        10⤵
        
        PID:4368
        
        C:\Users\Admin\AppData\Local\Temp\4E6E.tmp
        
        "C:\Users\Admin\AppData\Local\Temp\4E6E.tmp"
        10⤵
        Executes dropped EXE
        
        PID:228
- - C:\Users\Admin\AppData\Local\Temp\6736.tmp
    "C:\Users\Admin\AppData\Local\Temp\6736.tmp"
    3⤵
    PID:3292

C:\Users\Admin\AppData\Local\Temp\97BC.tmp
"C:\Users\Admin\AppData\Local\Temp\97BC.tmp"
1⤵
PID:1700

C:\Windows\System32\mousocoreworker.exe
C:\Windows\System32\mousocoreworker.exe -Embedding
1⤵
PID:4792
- C:\Users\Admin\AppData\Local\Temp\7E19.tmp
  "C:\Users\Admin\AppData\Local\Temp\7E19.tmp"
  2⤵
  PID:3036

C:\Users\Admin\AppData\Local\Temp\96E1.tmp
"C:\Users\Admin\AppData\Local\Temp\96E1.tmp"
1⤵
PID:4108

C:\Users\Admin\AppData\Local\Temp\4E20.tmp
"C:\Users\Admin\AppData\Local\Temp\4E20.tmp"
1⤵
- Executes dropped EXE
PID:3956

C:\Users\Admin\AppData\Local\Temp\4DD2.tmp
"C:\Users\Admin\AppData\Local\Temp\4DD2.tmp"
1⤵
PID:528

C:\Users\Admin\AppData\Local\Temp\4D84.tmp
"C:\Users\Admin\AppData\Local\Temp\4D84.tmp"
1⤵
- Executes dropped EXE
PID:3960

C:\Users\Admin\AppData\Local\Temp\4CE7.tmp
"C:\Users\Admin\AppData\Local\Temp\4CE7.tmp"
1⤵
- Executes dropped EXE
PID:4856

C:\Users\Admin\AppData\Local\Temp\4C2C.tmp
"C:\Users\Admin\AppData\Local\Temp\4C2C.tmp"
1⤵
- Executes dropped EXE
- Suspicious use of WriteProcessMemory
PID:3252

C:\Users\Admin\AppData\Local\Temp\4B80.tmp
"C:\Users\Admin\AppData\Local\Temp\4B80.tmp"
1⤵
- Executes dropped EXE
- Suspicious use of WriteProcessMemory
PID:2804

C:\Users\Admin\AppData\Local\Temp\4B32.tmp
"C:\Users\Admin\AppData\Local\Temp\4B32.tmp"
1⤵
- Executes dropped EXE
- Suspicious use of WriteProcessMemory
PID:3588

C:\Users\Admin\AppData\Local\Temp\49F9.tmp
"C:\Users\Admin\AppData\Local\Temp\49F9.tmp"
1⤵
- Executes dropped EXE
- Suspicious use of WriteProcessMemory
PID:3624

C:\Windows\system32\backgroundTaskHost.exe
"C:\Windows\system32\backgroundTaskHost.exe" -ServerName:App.AppXmtcan0h2tfbfy7k9kn8hbxb6dmzz1zh0.mca
1⤵
PID:3992

C:\Windows\system32\backgroundTaskHost.exe
"C:\Windows\system32\backgroundTaskHost.exe" -ServerName:App.AppXmtcan0h2tfbfy7k9kn8hbxb6dmzz1zh0.mca
1⤵
PID:2260

Network

MITRE ATT&CK Matrix

Replay Monitor

Loading Replay Monitor...

Downloads

C:\Users\Admin\AppData\Local\Temp\45A4.tmp

Filesize
239KB

MD5
642835789b8317c6ca8623a8a32f50ef

SHA1
3437a7a7f73ec6ecdd3a28691646c51b7610b6d6

SHA256
087b0399fbb999ff9123ce46800950e3e3cd1c1f0ce73cab3fd565dcb6bde878

SHA512
7cf1de42b8efb592d898de6a058b09b99c8603017f4564d12dc7b617ae14399eece33cdea82782f19792ccbda5206035e0a2bc589680aa717cdd518d32864bce

Download Submit
C:\Users\Admin\AppData\Local\Temp\45A4.tmp

Filesize
90KB

MD5
f1e245ff92b86b67cb2a28066738e91e

SHA1
89cb3c3b92b188d0d6bbad7a1f5738fe388b6342

SHA256
b9d9cc10c118688ae0cfdda636344d2e1b399a03e887dac1060aad95a076ec39

SHA512
eefd9959aa2e8fd7fad222e0fa93fc76a5f579d5ba11ff466ff1c11698fedc6eb3e3ffa38d064932cc5b1e27cc55a613ef14fc1afa83c4f466f0c1ab18e881f3

Download Submit
C:\Users\Admin\AppData\Local\Temp\4602.tmp

Filesize
57KB

MD5
4db61745a9564fae8d9784986bd5e168

SHA1
dda66f20bdae60d925f9efaec02d94fe7ac68c4f

SHA256
54c389a8a659a1ed938a1f7c284be9628bca388268f00be367accb5e4573e0d6

SHA512
18634fc571d3c32e02932a09f0b9ff8ff7d7ba122bdc3217a7abd278c5284c007e9ada67dc81f0a80bc54b0601a0c4b0f48395be420fb9a6a8844a18c3166983

Download Submit
C:\Users\Admin\AppData\Local\Temp\4602.tmp

Filesize
47KB

MD5
805ec6b537d07c91ce3aa10ccf57f8b1

SHA1
f68d5695a5c5114144482f6fe2df6e50ecf4fc8b

SHA256
ff11e3df9071ff4eff8788548f150f1e89b89b812d6c8633eacab2a5d060eb15

SHA512
ecc37645243a11ba5854fb460370bbe6cf56b605e8a58d0d0d9346517734ee00b817b9205c4a087420f9ee5857f79ea423385fdfc512ff19359176729e044161

Download Submit
C:\Users\Admin\AppData\Local\Temp\4650.tmp

Filesize
1KB

MD5
f31e39881a1444b996083b94e2397289

SHA1
00353e2d68e5895c48897be2ea99e3ec9024c3a6

SHA256
a49cd3f71b3d9df0108cd69460495fcc12e346904dd50a9dcfb0a36c0695a7d4

SHA512
6f80161d3fdac96cbf5f8ca731cecc30ca1e9fc8aae8729fe2b681978549d055340d4585a6bf3e60633eb1571c72f7db91aabafc9771b96ed045fea4a967a58b

Download Submit
C:\Users\Admin\AppData\Local\Temp\4650.tmp

Filesize
17KB

MD5
6e06743d20415e19a7cf10f70ca8a2ce

SHA1
1909142310e0ed9015c2c03c52d48587203417eb

SHA256
3b1bc2626224819ba3c2d4e7fa2131c38f68581a04160226668a1ec40477af0b

SHA512
d0833cf0ef319643b048b899ad475a3b86a001858f693be67f4eeb79204345608a02ad757e08a82e694112c53e93920bbe599f9db2299d41abb446c0011c46e0

Download Submit
C:\Users\Admin\AppData\Local\Temp\46BD.tmp

Filesize
100KB

MD5
51656bd2dfa4955c1149ad674cb66a97

SHA1
82518d8c6d0a50f0d64083988e39264a871cf2c6

SHA256
2d9ffd11db0769b0dd71fd5e0cc51dc439ae4886f52181752366bb939255e8d7

SHA512
7ccb2c00585f811bd338eb06964c6f2379cabdc5cef89408ca566f096b65581c6a8841a7f033b13ed7c70079efc9143127cfeeaa860fcd468f6a2079031e6422

Download Submit
C:\Users\Admin\AppData\Local\Temp\46BD.tmp

Filesize
115KB

MD5
991bc492c403fd972c4cadf5b689cb26

SHA1
f23a429d46724b477271fc96a0885eb891915e68

SHA256
48de47b6b7369cfee0604f3572c27b2f57d6245a9cf175c1ec66288a4ce589e0

SHA512
ba02db7efb47639849380db90bfacaf453c975aec33f2eda35e0fdd4a94710ef7cb0686c03d5b4ef5f1d521988590732bb10ea6520f4fdd2a8db80a9c5cbfafc

Download Submit
C:\Users\Admin\AppData\Local\Temp\470B.tmp

Filesize
86KB

MD5
5d0ca6400a468f5bfe71cbb902509916

SHA1
99b7bb1adebb9079025f03fdd0f7bff3652797b9

SHA256
a75b0b65f432ce948a7daa3701cce30c5abe18e224a792a3f4842055191a8c6d

SHA512
c3c19d58f605ba1194663dd7b8e12e87a644be856e879ced98107d0f2a3dd094a8d7d145b5ee37276da199fa286fbc26760bfa745b467735de3d33e095ed15b8

Download Submit
C:\Users\Admin\AppData\Local\Temp\470B.tmp

Filesize
84KB

MD5
badbfa055afa7831e0defaff5f4006e7

SHA1
7a066012dda34e1b6537f5ae579347aea85c7360

SHA256
7442d8d1f6870484afa77b0351779b87c2e6cead940158275bae05b44f9c8618

SHA512
6cc01620543c9776ccc28fecdc2c344e7663df08ea56e4581e1b66fa2c874d8696e269f93de83d15be46073314210e85eb56437a789367cb714e1b30e6d397ae

Download Submit
C:\Users\Admin\AppData\Local\Temp\4759.tmp

Filesize
46KB

MD5
ce18ed1939aa91fa0eb3696386097e03

SHA1
d11509400b7b9ac85a7b19d0be1ed3da32310e5f

SHA256
78d82a77267e46bb915eabfbafd79dab433e7807b6dbaba86ae25369c38800b1

SHA512
e079cf15fe98221373a090fa055b17da9e00af189b30148f0abd72f18d362f4b21bf68795620129481335a2f6340755131da362e5be2c8e55c9dde975bba41cf

Download Submit
C:\Users\Admin\AppData\Local\Temp\4759.tmp

Filesize
70KB

MD5
09f85f0591711e3f1fceea7861100196

SHA1
98be0b2b7035477c14211cf6254effb09ca2a160

SHA256
f75b7aa30bda265c4783f5c6ed6a40ab6be82dd56200f3a2352d13d22f59007c

SHA512
3a4d67a298b719ccba477043633d150d34ffa746473a4c92eaf4bd339ac8806fdb766e795d91b45bddda76d42db23609741acfeab4a5cd4a9ac1b7dc37e1098a

Download Submit
C:\Users\Admin\AppData\Local\Temp\47B7.tmp

Filesize
68KB

MD5
7ea0b40eb05bd55892af5435538e9052

SHA1
3dd225b59b624c4d3467d62e7a64ee8f36339730

SHA256
db806ed2ebb6f1e39a727f0ffafc6ffcbb2d8649397b089c8a2908348d0db023

SHA512
d381d62bb84c1fd73bafd8f2762a8b20933af6f3a265cdc01269e2719e7aea47eb27f5d1c0f1201b5f45cf4ec608f49efacc8a44cdb1e4bd63848010f9180a17

Download Submit
C:\Users\Admin\AppData\Local\Temp\47B7.tmp

Filesize
61KB

MD5
14d6d3ca976c53c9e7515e87dc674ed4

SHA1
b7d8d3e01515ba52f2e2c9767e564c5ba1788e88

SHA256
aa86a6db3ab72ecf089d626cacbf402c4ab5fcb6178da345d25c6d7d4b4962b7

SHA512
8d5e8b45dc9f18e5f71bd030582d2f928a841e38d91a4e70959beaf3e25a4574018daa6da570f466c35ab5e76b7712857f1bd6605243ae1949f93995145a20ac

Download Submit
C:\Users\Admin\AppData\Local\Temp\4815.tmp

Filesize
29KB

MD5
ffcf47dcd566623d9a56bc77201387a3

SHA1
9a2ca130ebbad96247ea59a7f925e49e12d5f5d4

SHA256
6bfdf05745eeebdfd48e44719b7e356a4defabec07de8849a6a53cce9e16330d

SHA512
01fc50b576565d16776ea1193533bc48643020024e756aaa4c7fff91b1b5880a032653040b5db443ad75d26c489f9194b0da96f78e8ab6ba70a66bfa0d227425

Download Submit
C:\Users\Admin\AppData\Local\Temp\4863.tmp

Filesize
36KB

MD5
99fd05a2bc9c001bdab5dc9d88804178

SHA1
ddd71019ddfd9535c489fbc069e39e10340eeab9

SHA256
a3740b57d410c1d65a8fd844990d4d3a5d31b46d679f14d7e4502a84528f3be5

SHA512
c7d57eb277ad7fbc6ed151ffea8c776c46e2afd6dee0d66d38195e457819f1cbde2853d5065ac7afda1939fd9a516fae289a49c237edc0f793ddd796de70ac68

Download Submit
C:\Users\Admin\AppData\Local\Temp\4863.tmp

Filesize
37KB

MD5
adc5da1cada37580f17a8ff83165e555

SHA1
0a369e482472b846898ab815a236472ece65005b

SHA256
c11d25e701b873cfcbc9c54c7cdcae2db2fbf9f0b0af081d2cf765e446ac46de

SHA512
a6af5f7dd4d6e9a6d4d58214569159d4c865245ec4f86af5f6e3b87a1b4f3094eaf2246ede2c94fdb99f20084828062edf1f1ee6615c3feb6b7cf2422d14fd51

Download Submit
C:\Users\Admin\AppData\Local\Temp\48B1.tmp

Filesize
28KB

MD5
b768d551ac05bac79cda1c9ee80db2e0

SHA1
af9cb7e57f9da40b2a68799816cea7f031a31376

SHA256
6767abd3b141312da41925d034dd440536a26bac3059331a51e33134570d3c68

SHA512
126f9fcab7f09218c82ecb4831201e11e8951ac40d2cd4bd7d86652ee5e59d1255ab927cd5278c91a53b801599b51921776902debb6aca66f0d88980e5e4d351

Download Submit
C:\Users\Admin\AppData\Local\Temp\48B1.tmp

Filesize
35KB

MD5
f7725a1844a7b246127b5e8a960befec

SHA1
9f4cbd097ea74e45a5db92fe376f12bd79f6bd48

SHA256
fc49325a4a55c4f58854cfe31f3dd922055098ef37e721c51232022979068a9c

SHA512
a7e4135d35176693dc9e12f53e3ba1b260b36b1a79743ebf4c8aea634fed7bf41d5218652c52084358e630ddd3e1c9acc814ff317d022fb2505a6069a31a79d1

Download Submit
C:\Users\Admin\AppData\Local\Temp\48FF.tmp

Filesize
486KB

MD5
f0a0499f87ce78ae0d764b0a24091a61

SHA1
ed36497a913b575fa08b7f9a3ae1075a78939eaa

SHA256
67033b1c457a0068e1a3d1b42f498a7b10b7dbe87c13389179cef469fc360743

SHA512
8acd4c83053c3f70140850f2719c63370e0b715d32e4c1f7296e98ee8c0425c9abe3efc084621d39a4e8a96422d5560d7a72a33d0f82ad3b8bcf4973dd6ecbdc

Download Submit
C:\Users\Admin\AppData\Local\Temp\48FF.tmp

Filesize
54KB

MD5
7f7d22800697a2ed86082c2a7212ca25

SHA1
b716a5776bccca8117167b8a71932a22fed081b4

SHA256
7396a2f9c69adaffae09c3bfc66cd93e9dc34740c88e415f5338edf8d97e07d1

SHA512
415f3215219b13ae074d68469660ef75199eb888f5530e8ca1626d631182f0ae8416bcef68a770594325b4ad539a39ed54a6ea738ced5b0104f9c3afedff640e

Download Submit
C:\Users\Admin\AppData\Local\Temp\495D.tmp

Filesize
486KB

MD5
4621dfe1f863170b77839408c04df0d2

SHA1
563176a3771bff90aa8dae094fb46f24278084af

SHA256
532da617f5fe400b6c2b9d2014d489c529f043386ecc5548217fe614620057bc

SHA512
a35b2279b307cede725d850402068997bc09d21410e5b416d2bfe37d1af28a0ca7ae65fd6e437f22a6213a802619d7164bf5a5592b6a1ee620c5ba5f2dad7682

Download Submit
C:\Users\Admin\AppData\Local\Temp\49AB.tmp

Filesize
5KB

MD5
a5377ff22e91152a3bd4631df27559a7

SHA1
3978efad0d4e1ef59d7f92164db4418b41485098

SHA256
2ae3d471a8d106853f5933cd5fc9ccbf0b83cd98d377f8c791c05f4f4bbfa906

SHA512
dd9fa46e9681518ca096bd2890748d84167f6d0685dec74d0b336324508bff1b5208a9c8c44b06c63098e2057a6b045de2f0b3a526d4622c3aeb9b43ff94f734

Download Submit
C:\Users\Admin\AppData\Local\Temp\49AB.tmp

Filesize
29KB

MD5
c25c74c142fc88b8cbd0566298d37b9a

SHA1
d6e225b74fde8449de2b932240d393750555305a

SHA256
ed4ea668d70e08dbccb46252c7c91f136b24ff9cd1b936f2d7dcd1a81a5b5ec5

SHA512
b626c8aa5078e3588a22fba2d4e97a76d36c9121b9cb234c0fa669ad3d91d05729b1c1e69e21d9844aacfb7cd62025ee24444dd0dd89588e30cdb44e1dcd4d2e

Download Submit
C:\Users\Admin\AppData\Local\Temp\49F9.tmp

Filesize
19KB

MD5
a610e0ba96bd8ca810483326878e0de6

SHA1
f971b161aeadefcaafc97afe2582fe40fb899c67

SHA256
c724e84b8f63b344ec2a657df78cd38c197ae8642978ac4ee5042472ee112030

SHA512
d9f038554168dbf69d0ac41472ae556a7ae5597e0f97d975ded1aadbfeb0633eb040ed0e46962f01f24df796efa7bb20c325292b9c73c3947e10ed5a5d89088c

Download Submit
C:\Users\Admin\AppData\Local\Temp\4A47.tmp

Filesize
486KB

MD5
c6c1ff5b5bdcae7b0d81de567f3fa504

SHA1
1dfff4e820d2c47dd7baa68176c4e9c56dfed09c

SHA256
99669b8d109e1f9a73a4005b034f9396aea0893b1a76b0ca03ea3b8290719c2c

SHA512
cce4f02902fed51b8eedd2002040b5cfca7cfce68c992915a62a6ce0f58fdebaabbf676f8ef4ef980b30415ae21eae577514aab57f46bce0542425f8a5e0bfdb

Download Submit
C:\Users\Admin\AppData\Local\Temp\4A47.tmp

Filesize
79KB

MD5
95b8cf6392563affbcfb0aa26f57db4b

SHA1
e66db53b151ee0c85ddfa7982e90d5f0c16a6ed2

SHA256
7face60589ec7cd457794d8646ddfed035da81457a13410eb2e501757b923211

SHA512
4a2cd8d9084d1a1327b2d6d381fb4157dae02277bea1041141a0a7d65464d1b416760a85259dea317f4dd05b96880e3f9aa847dc09f2227d54740a0894c6244c

Download Submit
C:\Users\Admin\AppData\Local\Temp\4A96.tmp

Filesize
70KB

MD5
61b860ea61d15af1e450f9a784fe96d3

SHA1
22d0adcac015c495a6c3cbff10cf8e62701cc8a6

SHA256
303bf8e834e41abe5fae3cb043f4a9ce9a3f21442f49cbdc02258a6861fc2038

SHA512
9b4d82eabd088d3954d57dc5939c8bd61f5ef1b2c8a475e4ef18896f8b02de61e598ee8ed424c692c937d12e0b3f18676f3bed287597a2b08ec3c8df9a84f590

Download Submit
C:\Users\Admin\AppData\Local\Temp\4A96.tmp

Filesize
80KB

MD5
4a28bc365a7be8ea2c2a8a69debf1763

SHA1
6a635eb7a0c8479d9c663d5e99e22938cfc45017

SHA256
13e5be5e5fbefdb0e118ea8c8ffb29db68213fec1695dc77e0c5bed493845230

SHA512
b485141f35e8c9912b76a4dad041525d44f4ccc48357650c74a0b608fe126d9df7d97da1f9533db889e617747305271e64026392a581152932d7eba50610d39f

Download Submit
C:\Users\Admin\AppData\Local\Temp\4AE4.tmp

Filesize
486KB

MD5
63c585de7eaf9c754b1b3fa575e8fedb

SHA1
f3cff4c95c830c687ec588573190a15d2cd13cdc

SHA256
fcf3425def2ffa97e223fcf6d54afbc98c5aba408acd37097e05029e62b27de4

SHA512
efbd977b600ab34eedaf674909533cfae86bfd792c6a8d56366eaf9c6bbf7182cf1b731221f7d9dfeaecc0f357debb3260c6132d3233e796395153e5dfeb9b74

Download Submit
C:\Users\Admin\AppData\Local\Temp\4AE4.tmp

Filesize
65KB

MD5
576795fcf570791329608f07aa4302d2

SHA1
45a9a8ee28708c058e362b9c49ae55b5eb569f5a

SHA256
91d0ca8fcee2e1100b79d87af6d63f73c0165c4a1fa7a07d0f45ed977ade0c5e

SHA512
dab940cf7cbf07b4d374a1681eb29f7c995aebcd8e70c327aee6d9bc35756ab1b0b0e863b9b44d2d2343a92fabec013442807a5f43569fda8d0993c09b0249cb

Download Submit
C:\Users\Admin\AppData\Local\Temp\4B32.tmp

Filesize
92KB

MD5
9508f0a03b873df2e238b9ed667ec563

SHA1
c65f85f219b0ce6a6f8779d37ddf67b57f6ca061

SHA256
ce014192893b902d3a2959cb4ab7cfc333569ca89e8c05acf662f041db39d6dc

SHA512
fda1afa5f3e667cb9bcd78d40aad10ade25831ce7165e97031c90259e2384bc1853df671e7f1013073eca871673559e95f662a638d9e5e2fbbe9f1fd482309a5

Download Submit
C:\Users\Admin\AppData\Local\Temp\4B32.tmp

Filesize
71KB

MD5
c8d11e3ced1df8033aa14c2bbdfafafa

SHA1
158955c6c1a018104bc62763da42e9404c202155

SHA256
2d723442ef04e884716b4c712a4043b31a000543a362b10ae2e91012226ef5c2

SHA512
24f5f36398a93127badf7e0ad8fa7e11352830827a0fb1807d98875edcba3b9f28619f2a7a24db06c21f76bd87190339d3d7abcf604a5e8256ac914eef6c22b2

Download Submit
C:\Users\Admin\AppData\Local\Temp\4B80.tmp

Filesize
33KB

MD5
d22154f79abb90e6f8aaea6ae612d3aa

SHA1
1ee3267ac50c91a6aae59f599a43d838e7dbfd3f

SHA256
510bad366112da1cb57f42d48a71ff9b647bfdd4cc16a1f6c1d9f84b03561b59

SHA512
c040f5b4af23ef589fcfe83722cc91af5d814ed05e4ffe7995fd08d60ca62a3f2e68a94eb3f2da0a185787e3e4eb8a9252c40cf87fbca41ca74ce843f06c4093

Download Submit
C:\Users\Admin\AppData\Local\Temp\4B80.tmp

Filesize
91KB

MD5
918e34e17dc46adcd01c24668b60c737

SHA1
3ede651ef0b6f59253ba5b6a2e6da08d35427f06

SHA256
d5ac1c639c275f6a812b2d62a98c1f9c92449fb1a0d74ad46e9631d4fbfddfa5

SHA512
ab523981305abdb92870aa03cb7b30cf6897576ab3221f6179e74d54065ccb7db72f174070fa8955d62bee6cec2e4b7c4eb0c284a3fa0fcd12ebcae2fa2314b7

Download Submit
C:\Users\Admin\AppData\Local\Temp\4BCE.tmp

Filesize
486KB

MD5
5afed00ee143ff4ffa8a2164967570b9

SHA1
4c31edbbeae602be8ad63d283a4bb6c89d9027e6

SHA256
3a79804117816d60d41ff0d12abcde6ccbf3cf0f41e03b90bbf1cd72520d6546

SHA512
8879cb6152188b0ed574061d979376bc38cec1e1addd83ef129d0a4c46228b480a85f10605643bc48e2f5968669c89af19ff064abeb08167473300b20e084f02

Download Submit
C:\Users\Admin\AppData\Local\Temp\4BCE.tmp

Filesize
112KB

MD5
bc147c548e0ad16bf2e463c42809afd7

SHA1
21d7fe30d644e4915e15e2d7fd35f2e0262a2295

SHA256
ca8297bd0ea104f7a42dcceaa8d3c16d4bc0de0cae2c761d7d487539b64a44b5

SHA512
a57de31c402dafad4be67d2ad3f3bb01048ec8a5264bc21ce960405b82ff2f98fb2aa6a0d7d6866e4c598f03dd3e055ee0877f888f6ea1b288cc7eac934d34f9

Download Submit
C:\Users\Admin\AppData\Local\Temp\4C2C.tmp

Filesize
486KB

MD5
36dc97f956089ad03db7c9d9fd71553f

SHA1
85fcdc08c37f73bb5d1ab1dbbc446083c698d71b

SHA256
fa7ca6d795654fa5693230dd6ee6a5ecb728bafcfc441676f840129aa0de178a

SHA512
f122f23bdd7a46020aad5d53f937041a25f96c72d52fd340a014e9e24f3a0df09e9c45671e50d3cc6cd1f7bcf9a7c37e1eb0fbe61040286cdebe9622df60e8d3

Download Submit
C:\Users\Admin\AppData\Local\Temp\4C2C.tmp

Filesize
95KB

MD5
af1a38e87d4b4b071fbda6b3710fdafd

SHA1
2bed862f72573b2c3b309ab033100891e59e2af8

SHA256
fc132b014f6c848ad18308b66b5f07f23bf10ed0ed4341eb0be8448c29cc01fe

SHA512
309475d9a4696382cf2213978e4750df845d0400b174ce4ce19797c84e1d66e4de010306c61fca639070454abfe79f1a9b38873811e662bdcf214d86a4a42277

Download Submit
C:\Users\Admin\AppData\Local\Temp\4C99.tmp

Filesize
59KB

MD5
e637ed5e4d2c0e74187378d77af71aba

SHA1
cb873bbe4e187bcd4f630f41af5f368bbb79eead

SHA256
5d376bf9183ac00ded79c910827b1ebc58632e63e614dfe17fc79b589e00eb69

SHA512
1553f8b7d6db98f1ea8fd9f074c3849bb0d604f80ed3c2cd9c5bb65bccbfb2f78953a94f4a1f9508be1f883b98f73c2114fc8347353bd5f69ddb6d68967483b3

Download Submit
C:\Users\Admin\AppData\Local\Temp\4C99.tmp

Filesize
18KB

MD5
7cee974eb9149e619625385cd94e657b

SHA1
a07c9086e0ac9cd6320a408bdec74d782165604b

SHA256
48e98d9406ec3d4bccb19edd8a0b9a47978a92a094fccde5269de8b25fc308a3

SHA512
a52b70fb895c37805f7d0fbf46fa490e91fce8f5044f9be4f049a7350e7b21aecc0025e89e28bce198bd6a7d42c183a567ab4456a506ddd4aaabd0610d5f3617

Download Submit
C:\Users\Admin\AppData\Local\Temp\4CE7.tmp

Filesize
486KB

MD5
d1ae0ef503515f24ff109d6abc60f531

SHA1
de384fdb7aba1d2852f01358c641f463c863c2fb

SHA256
e97c959904a749d46d544573f2746531571ad274c9017584f7f74f34fbf1a68a

SHA512
c999da9a5cee16780e912a05083bbb5014c156486935d3cf5e396880366a1ff8136adb4c451091020bf2a74dde7c005fb12c62a9c1a573971c7388a010bc5f33

Download Submit
C:\Users\Admin\AppData\Local\Temp\4CE7.tmp

Filesize
23KB

MD5
b6506663ccad24fe70a6d8465f21cebc

SHA1
c94b2413648b592d59d56fe151a692e55494f91f

SHA256
9ebf82a78ae11d17d4e0d2943a660f3006f8e7694a0ffe5def465c598b714fe9

SHA512
984c854f85ed7924fb2ca8748f3c3e6c7b0fa6331c33bbb86c4db16674328c8e989a743d7547b7c1d0126100e97955b4b0596af1aea5004f6ed3645e3671a93c

Download Submit
C:\Users\Admin\AppData\Local\Temp\4D35.tmp

Filesize
486KB

MD5
408762e287328d3a77e220c3e80fbac9

SHA1
1f0b34a766c26d8dc778b7fb4d6d65278c9ab092

SHA256
b28c7bce7dfcb011e3cb7c8032ea7e037921ff88da3aae72e7ed856328c14751

SHA512
ee294d298de3207cd114db607ad77de1a0b9b3711398800383cdbb6cf6ec9303ea883276256f5dd8f3f67e1570b1bffc7466afaefd1b59d9e0545f6ef06464da

Download Submit
C:\Users\Admin\AppData\Local\Temp\4D35.tmp

Filesize
70KB

MD5
5a4efe04ad841a4d02aa70d754569da2

SHA1
2eec5d8b8c0a7a89bb5224d2f9f41d6f2273cebf

SHA256
e0ddb00f20415aed87deab9f537a7f8104b1370db4f1411b6c02ca1734b94360

SHA512
b28303e3d8544fb68681cbc71fc71dc22b10ca8647bd2aa50bfe8ec6c1bc8f2cdd348efdaed6c2a454b85aa2b6d43cc6a4e87fd84101c51adfeabf3730700d62

Download Submit
C:\Users\Admin\AppData\Local\Temp\4D84.tmp

Filesize
56KB

MD5
3e6bf85151512af304d6f7bd75cbbfc5

SHA1
109000a12aa570c55aaea9cf6b693bd2531c8f66

SHA256
80279dbe5ba13207c6bf9afb2a239c0c4b1ef2c0f809fc2fdd31b5d8abea5bab

SHA512
99b2fe3394020996950e941d5d6b17832318d60da788cb0af1aae44274fce57dc208756eeb893ff45bec3b24d0058b06f5a16dc85b643202170c247661428585

Download Submit
C:\Users\Admin\AppData\Local\Temp\4D84.tmp

Filesize
42KB

MD5
4d762061fca968150ab0ff5e5ba36539

SHA1
492678af9ba1fe414160c05c73c93acf13aee2f5

SHA256
96b55bc995e3b29a5f6ed03109a7b31610f13105ad40b31d7b572473d1232a37

SHA512
77cb3c7296e635141ebb13505516aaac0eb6750ae704f53eda77070f083e2b730a78cf5a0221bfe15f63468cdba3904c4968f1091436d71b2bdfee7121e52cdb

Download Submit
C:\Users\Admin\AppData\Local\Temp\4DD2.tmp

Filesize
486KB

MD5
5370af4f159454a2faedd52b30c6599c

SHA1
149e3eeb1217d5a64088d16571f0f94867b598fd

SHA256
ecf96f90764b095f3908ea31dd839025cc6aa32edfa5030ace124d9d5947ff8f

SHA512
4052fed80d6dd0e898060dfb30c04907db96349e8cd2ee03c504cc7fd3cf67ba44af0dce75ea178ab72a39c848152cbdfcff2f24d2ad707cb5d27b99bfb48068

Download Submit
C:\Users\Admin\AppData\Local\Temp\4DD2.tmp

Filesize
31KB

MD5
730c323c2c06d7fc2235d8c27a66d97c

SHA1
c525a845ecad356602dd8c5f341e0a298e32960d

SHA256
a8a1d7bdc810b58d8dfc1cfb1265538746a5fd3a01f217c954db58a5c2ec06af

SHA512
cb63b76eb3f48a9f765d88a91d7b4ed89915b334153f4634e006f5052253f317e3c53f8ed53ab9e3138466d16abcfd587736cee875b07c066728f81c0a8e0f45

Download Submit
C:\Users\Admin\AppData\Local\Temp\4E20.tmp

Filesize
486KB

MD5
a8d2c6fadf27d06c40758f5357bacc09

SHA1
0503ca057c301eb0ee78047c11bd671fef855b35

SHA256
f3508590b4893f4467c7c35e4f23e6c35bd3dadb2e2d332d46e98e17041baa03

SHA512
dc35dd8814519e5362f0f16ef654f7bf1b07ed2398899947f98fb43b4b6b598f3d4e33aa4faf923f5cddd148397ab0e992cc16155c4f217b7f6e8a6bf57c2dc5

Download Submit
C:\Users\Admin\AppData\Local\Temp\4E20.tmp

Filesize
55KB

MD5
6914afbbc04edbcdb2749becd9c40950

SHA1
3dfd6c02977ff492df53077bbdcf42895289c026

SHA256
4daa28c30fad5066e56fab083da9963e3a66af134f432878f9abb68306783a62

SHA512
55257c88a42ae72101777926d2489800c4747fdfaa5ad2d7cbf47bb680864d3a5473842e824b3010f33a512212e1ebba1726fd5650b0168a652b1e1a46c32cef

Download Submit
C:\Users\Admin\AppData\Local\Temp\4E6E.tmp

Filesize
486KB

MD5
5f23236d6c383d1a48b67c70dfccd22f

SHA1
4dc6198c422fbfa7003ab26c5612e3ac750f4209

SHA256
57db86b4f3577868714cbfcd279911672b3097780f9012c29e38e4a63b590ea3

SHA512
ee44aa6be9641a7812a941375c04a3873c6385cf3e220900a2097d88ed8225f157692a62d1065e6a0b448ea7f363c185272db45aa9360b512523178b5696d146

Download Submit
C:\Users\Admin\AppData\Local\Temp\4E6E.tmp

Filesize
46KB

MD5
fff7fdc545c3f1019369ec9de3b45481

SHA1
a0f20731cf1e42098ce20c570b2f06a2228d77be

SHA256
8abbf02291a6e6d2f58cbbf0ba1cd66703bd8fb826a8b1a1c2854b96f6725ae9

SHA512
4681c4fc1d6a6ccbd0b8e334daf5da11df1849a537c8899337b7f26c1b03eedfceb4420e6d8c91e65cb836ba7e0e98817f2b9c368288ddcdce3ac3b59d6ee41e

Download Submit
C:\Users\Admin\AppData\Local\Temp\4ECC.tmp

Filesize
486KB

MD5
7da8c95c6ec67c51bcfc07f5d6b8a842

SHA1
a782e37914e915db23807b798d44bb95fcba489c

SHA256
8968a03cf3373087e62ea2714c5e2a387075a104a685de08316030ff31e32c25

SHA512
86e84cd825ff6aad2873177f51d18cc52dcf17ad85ef3d4fb9c63c79266dbe76b6d121a5287f2d81f05c0dbdfc9707cb16a0fa4cf503b35bb365f7d7dcc13075

Download Submit
C:\Users\Admin\AppData\Local\Temp\4ECC.tmp

Filesize
54KB

MD5
eb58757d59e28cd3d3fffc2eec324c13

SHA1
b1b90a4b411fd82696e0f88af078e957c7757544

SHA256
eef9ab61c0fa9145afe6a4d7b12f24aa8b1c61f8a08b31ffa1c2732d674b3331

SHA512
edd13dbb4a53909be2b60e440faee19ff355dbc9c8606b04f74ec8b012e8a8aae3bfc852e2551facd8e608bebecb1853505bcd41d26c40c1bf903fe646d8dc74

Download Submit
C:\Users\Admin\AppData\Local\Temp\4F1A.tmp

Filesize
96KB

MD5
67b307be3c58958f310299f67847bd55

SHA1
8ff18c40373fd273f6e5ec8d085beee966c4ec21

SHA256
23639e451747fc096e3f1c22cfe9ccec255c0e51ce9b390ecba6b8c8811d5d36

SHA512
6b5ab033cea001bee2e47b55edf8edcdf927fe1a73d01240f65457333da9e77fcfa46368c08b7bdf38ba6372796dfd88ff487ce093785bc9ce1dcf9a8b1ba191

Download Submit
C:\Users\Admin\AppData\Local\Temp\4F1A.tmp

Filesize
23KB

MD5
bbb5da0a61873b6d4ce1d2ba6f01a6cb

SHA1
7ac0ce7c8f23ecacd89a326a663e7ae7112444de

SHA256
3acc8bb0292e4b318b4a7ef7a246f936e185a511dd77f76ab3f47986c2977d89

SHA512
c1497f3499d5a773df8a58589fec417ff22ef36e1cd576f28ad605da9392be4c4f86ff10cf73b2f1c32cb981c89c2e1502e729a97e410d299649d1e0fc2dfaaa

Download Submit
C:\Users\Admin\AppData\Local\Temp\4F68.tmp

Filesize
38KB

MD5
527f346ad8b2692978eae762bfe1feed

SHA1
4a563d6c07b8bc4d1ed84e8de1d25a11b9746fe5

SHA256
9d18d91e0e3c147ec24870511e9b8d0cb47fb571698ba619ddde2bbd0202c125

SHA512
e25a5bca4af817d2660cd4aa505678b72a47900c933169957a20636db3816fdb7fea0a1d8ee0e3406abc38f8b86b5a3d884e85de67b674edc2f34fc0b9e8b406

Download Submit
C:\Users\Admin\AppData\Local\Temp\4F68.tmp

Filesize
66KB

MD5
b38b9239a717b5a29a08b640a669c4a9

SHA1
83f09c33731a8b3986d14a80085641359b62032e

SHA256
bf576cb2fdda269fdd3ec657f8964045822e7b83b5bf532a1128cf597228b030

SHA512
66698b5450004934f1a5d9d7264541be351a66844fe6b5a8001906cd11f46235588002e3e7389094531c252be3a52c6e167cbc3bd6c3397ded0a3135ec97a7b1

Download Submit
C:\Users\Admin\AppData\Local\Temp\4FC6.tmp

Filesize
13KB

MD5
4b3bd233071903e7dfe49a9ef48a89b2

SHA1
55081273fdf8b6e94352002bcddf6b234cf461b5

SHA256
ce7c1c98fbf4d95fb10d1a6b5b9a3109dffb44c511ce05401be00c355d2aa327

SHA512
e900288ab9c351a4ebd7a3e5feb4eae90b773a62b285c141aa9b0d7fa56ea52ccf48fb2c07f65a5f49cffa55325c231f7ba51788d0154cada7969484c01bb92d

Download Submit
C:\Users\Admin\AppData\Local\Temp\4FC6.tmp

Filesize
29KB

MD5
be7eeab80c46c542690ae5170936cd5c

SHA1
15413287cfe1c8c4b4c5621f4e942e405402fb88

SHA256
fa65122c1a06e1c692df8bfa891f03e98b9c7d4ba2567d7ec579e7e2bbcbcc1b

SHA512
8906ea28ab1d6a6c6d326ba521f9fed80a3b7e081a5afdcffab087fc5c39cfb46cc0e6cdedd6707dc4fcd139c6c4610c0e97ecf684247e59122b9c0113fb8ba1

Download Submit

Analysis

Sharing

General

Malware Config

Signatures

Processes

Network

MITRE ATT&CK Matrix

Replay Monitor

Loading Replay Monitor...

Downloads